Nuevo ZERO DAY EN Adobe Reader segun avisa Project Zero

Una vez más, una vulnerabilidad reportada por Project Zero sale a luz, esta vez sobre Adobe Reader y podría permitir a un atacante tomar el  control de los sistemas afectados.

Los fabricantes van a tener una cosa clara, si Project Zero llama a tu
puerta date prisa en parchear. El plazo son 90 días o los problemas
saldrán a la luz con todos los detalles. Sin excusas.

En esta ocasión, el fabricante vuelve a ser Adobe aunque el software
afectado es el lector de pdfs Adobe Reader X y XI para Windows y Mac.
El problema reside en un desbordamiento de búfer basado en «heap» en CoolType.dll.

El problema fue reportado por Mateusz Jurczyk de Google Project Zero el 30 de octubre del pasado año. En diciembre Adobe confirmó la vulnerabilidad, la asignación del identificador CVE-2014-9160 y su
corrección en el siguiente boletín de seguridad periódico para Acrobat y Reader.

Sin embargo, según Mateusz, la actualización adelantada por Adobe no incluía corrección para el problema en la plataforma Mac. Por lo que el caso se mantenía abierto hasta que estuviera solucionado en todas las plataformas.

Han pasado varias actualizaciones desde que Adobe confirmara la próxima publicación del parche pero el problema no ha sido corregido. Por lo que finalmente Project Zero, fiel a su política, ha dado a conocer todos los detalles del problema. Prueba de concepto incluida.

¿Son suficientes 90 días para corregir una vulnerabilidad en un
producto? ¿Es necesario hacer públicos todos los detalles del problema antes de que se publique el parche?

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2015/02/nuevo-anuncio-de-project-zero-esta-vez.html

saludos

ms, 12-2-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies