Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Google Project Zero revela 0day en Adobe Reader para Mac




Una vez más, una vulnerabilidad reportada por Google Project Zero sale a luz transcurridos los 90 días de plazo, esta vez sobre Adobe Reader y podría permitir a un atacante tomar el control de los sistemas afectados, en este caso los usuarios de la plataforma Mac.





Vendor-Adobe
Product-Reader
Severity-High
Finder-mjurczyk
Reported-2014-Oct-30
CCProjectZeroMembers
Deadline-90
Id-3109
CVE-2014-9160
Deadline-Exceeded 

Los fabricantes van a tener una cosa clara, si Project Zero llama a tu puerta date prisa en parchear. El plazo son 90 días o los problemas saldrán a la luz con todos los detalles. Sin excusas.


Project Zero es un grupo de investigadores de seguridad que trabajan de la mano de Google con el fin de buscar diferentes vulnerabilidades en las aplicaciones del día a día con el fin de promover el "software seguro" y obligar a las empresas en cierto modo a mantener sus aplicaciones seguras y actualizadas, aunque ello suponga también comprometer a los usuarios. 


Hay una base de datos pública donde se puede consultar todas las vulnerabilidades.


De momento, Project Zero cuenta con los integrantes: Ben Hawkes, Tavis Ormandy, George Hotz, Brit Ian Beer, Chris Evans y James Forsha.

En esta ocasión, el fabricante vuelve a ser Adobe aunque el software afectado es el lector de pdfs Adobe Reader X y XI para Windows y Mac. El problema reside en un desbordamiento de búfer basado en "heap" en CoolType.dll (heap based buffer overflow )

El problema fue reportado por Mateusz Jurczyk de Google Project Zero el 30 de octubre del pasado año. En diciembre Adobe confirmó la vulnerabilidad, la asignación del identificador CVE-2014-9160 y su corrección en el siguiente boletín de seguridad periódico para Acrobat y Reader. 

Time Line 

  • 30/10/14 La vulnerabilidad se informa que Adobe PSIRT.
  • 31/10/14 Adobe PSIRT confirma la recepción de los informes y asigna Identificación caso interno (PSIRT-3109).
  • 05/12/14 Adobe PSIRT nos informa que la vulnerabilidad se fijaría en Acrobat y Reader boletines de seguridad el próximo martes y asigna CVE-2014-9160 para la emisión.
  • 12/08/14 Adobe PSIRT envía y actualización alegando que el problema se soluciona para Windows, pero el vendedor no ha sido capaz de introducir una corrección en la actualización para Mac, por lo que el caso se mantiene abierto hasta que una actualización es liberada para Mac.
  • 01/27/15 Envíamos un aviso a  Adobe que la fecha límite 90 días transcurre el día siguiente y

Sin embargo, según Mateusz, la actualización adelantada por Adobe no incluía corrección para el problema en la plataforma Mac. Por lo que el caso se mantenía abierto hasta que estuviera solucionado en todas las plataformas.

Han pasado varias actualizaciones desde que Adobe confirmara la próxima publicación del parche pero el problema no ha sido corregido. Por lo que finalmente Project Zero, fiel a su política, ha dado a conocer todos los detalles del problema. Prueba de concepto incluida.

¿Son suficientes  90 días para corregir una vulnerabilidad en un producto? ¿Es necesario hacer públicos todos los detalles del problema antes de que se publique el parche?


Fuentes:
http://unaaldia.hispasec.com/2015/02/nuevo-anuncio-de-project-zero-esta-vez.html
https://code.google.com/p/google-security-research/issues/detail?id=144
http://www.reddit.com/r/netsec/comments/2u7630/google_reveals_adobe_vuln_fixed_for_windows_still/
http://www.redeszone.net/2015/02/12/project-zero-vuelve-comprometer-el-software-esta-vez-adobe-reader/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.