Vendor-Adobe
Product-Reader
Severity-High
Finder-mjurczyk
Reported-2014-Oct-30
CCProjectZeroMembers
Deadline-90
Id-3109
CVE-2014-9160
Deadline-Exceeded
Los fabricantes van a tener una
cosa clara, si Project Zero llama a tu puerta date prisa en parchear. El plazo son
90 días o los problemas saldrán a la luz con todos los detalles. Sin excusas.
Project Zero es un grupo de investigadores de seguridad que trabajan de
la mano de Google con el fin de buscar diferentes vulnerabilidades en
las aplicaciones del día a día con el fin de promover el "software
seguro" y obligar a las empresas en cierto modo a mantener sus
aplicaciones seguras y actualizadas, aunque ello suponga también
comprometer a los usuarios.
Hay una base de datos pública donde se puede consultar todas las vulnerabilidades.
De momento, Project Zero cuenta con los integrantes: Ben Hawkes, Tavis Ormandy, George Hotz, Brit Ian Beer, Chris Evans y James Forsha.
En esta ocasión, el fabricante
vuelve a ser Adobe aunque el software afectado es el lector de pdfs Adobe
Reader X y XI para Windows y Mac. El problema reside en un desbordamiento de búfer
basado en "heap" en
CoolType.dll (heap based buffer overflow )
El problema fue reportado por Mateusz
Jurczyk de Google Project Zero el 30 de octubre del pasado año. En diciembre Adobe
confirmó la vulnerabilidad, la asignación del identificador CVE-2014-9160 y su
corrección en el siguiente boletín de seguridad periódico para Acrobat y Reader.
Time Line
- 30/10/14 La vulnerabilidad se informa que Adobe PSIRT.
- 31/10/14 Adobe PSIRT confirma la recepción de los informes y asigna Identificación caso interno (PSIRT-3109).
- 05/12/14 Adobe PSIRT nos informa que la vulnerabilidad se fijaría en Acrobat y Reader boletines de seguridad el próximo martes y asigna CVE-2014-9160 para la emisión.
- 12/08/14 Adobe PSIRT envía y actualización alegando que el problema se soluciona para Windows, pero el vendedor no ha sido capaz de introducir una corrección en la actualización para Mac, por lo que el caso se mantiene abierto hasta que una actualización es liberada para Mac.
- 01/27/15 Envíamos un aviso a Adobe que la fecha límite 90 días transcurre el día siguiente y
Sin embargo, según Mateusz, la
actualización adelantada por Adobe no incluía corrección para el problema en la
plataforma Mac. Por lo que el caso se mantenía abierto hasta que estuviera
solucionado en todas las plataformas.
Han pasado varias actualizaciones
desde que Adobe confirmara la próxima publicación del parche pero el problema
no ha sido corregido. Por lo que finalmente Project Zero, fiel a su política,
ha dado a conocer todos los detalles del problema. Prueba de concepto incluida.
¿Son suficientes 90 días para corregir una vulnerabilidad en un
producto? ¿Es necesario hacer públicos todos los detalles del problema antes de
que se publique el parche?
Fuentes:
http://unaaldia.hispasec.com/2015/02/nuevo-anuncio-de-project-zero-esta-vez.html
https://code.google.com/p/google-security-research/issues/detail?id=144
http://www.reddit.com/r/netsec/comments/2u7630/google_reveals_adobe_vuln_fixed_for_windows_still/
http://www.redeszone.net/2015/02/12/project-zero-vuelve-comprometer-el-software-esta-vez-adobe-reader/
No hay comentarios:
Publicar un comentario