|
Título: Adobe Reader X: descubierta su primera vulnerabilidad Publicado por: wolfbcn en 12 Enero 2011, 18:18 pm artículo de Laura Fernández (http://www.ethek.com/author/laurafernandez/) publicado el 12 de enero de 2011
A pesar de que Adobe (http://www.ethek.com/sobre/adobe/) lanzó Reader X (http://www.ethek.com/adobe-reader-x-ya-esta-disponible/) para poner fin a las múltiples vulnerabilidades detectadas durante el 2010, lo cierto es que ya se ha detectado la primera de ellas (http://bitelia.com/2011/01/primera-vulnerabilidad-en-adobe-reader-x) en este famoso sandbox. La idea de la compañía era blindar su sistema e implementar el sandbox para mejorar la seguridad del producto y aunque es una buena medida de protección, según han asegurado los expertos en seguridad, ésta no es perfecta. Según explicó el fundador y jefe científico de Invincea, Anup García, con Adobe Reader X se podía intentar solventar algunas vulnerabilidades y exploits con los que nos podemos encontrar en el producto y, aunque esta técnica va por el buen camino, siempre puede haber algún riesgo”. Al parecer,tal y como explica el experto en seguridad Billy Rios (http://www.pcworld.com/businesscenter/article/216379/adobe_sandbox_protection_hacked.html), “La manera más sencilla de saltarse el sandbox es, simplemente, usar una llamada file:// hacia un servidor remoto”. El exploit no implica romper cualquier código o encontrar cualquier problema en la ejecución, sino que muestra el fallo en el diseño del sandbox. Como cualquier aplicación sandbox, los diseñadores son forzados a pensar cualquier forma pòsible de ataque que pueda aprovechar los privilegios del exploit. Asimismo, parece que hay algo de positivo y es que, según explica Billy Rios, “parece que sólo puede pasar direcciones IP y nombres de host para el sistema en la red local (RFC 1918 direcciones). Si un atacante quiere enviar datos a un servidor remoto en la Red, entonces deberá recurrir a otros trucos. Esta claro que, cualquier control de seguridad es sólo una capa de protección y ningún método es infalible. FUENTE :http://www.ethek.com/adobe-reader-x-descubierta-su-primera-vulnerabilidad/ |