Adobe advierte los problemas de URI, Microsoft no hace nada
Traducción exclusiva de Segu-Info del documento original de Heise Security
Adobe ha publicado un anuncio de seguridad que advierte sobre un problema de seguridad crítico y describe cómo los usuarios pueden protegerse. Como mencionabamos hace unos días en Segu-Info, Adobe Reader Standard, Professional y Elements incluso la versión 8.1 y Adobe Acrobat 3D están afectados.
La vulnerabilidad evidentemente se relaciona al ya descrito problema de Windows con las URI [1]. Como muchas otras aplicaciones, el Adobe’s Viewer pasa URLs, sobre las que no se considera responsable, al sistema operativo vía ShellExecute(). Windows XP con Internet Explorer 7 instalado reacciona a URLs de la siguiente forma:
Bajo Windows XP con IE7, muchas aplicaciones que antes del IE7 eran seguras ahora pueden explotarse y usarse apropiadamente las URLs como entradas apuntando tanto para malware como para spyware. Firefox y Skype ya han respondido al problema y han liberado actualizaciones para proteger a los usuarios. El problema es particularmente grave en el caso de las aplicaciones de Adobe, por la cantidad de usuarios que abren archivos PDF sin una segunda intención, y podrán ejecutarse automáticamente peligrosas URLs al hacer esto.
El workaround descrito por Adobe involucra modificar de mailto:2 a mailto:3 el valor de tSchemePerms que se localiza en las siguientes entradas del registro:
El Equipo de Incidentes de Seguridad de Adobe ha informado a Heise Seguridad que planean lanzar una actualización para proteger a los usuarios de este problema a finales de octubre. Netscape, Miranda, el mIRC y probablemente muchas otras aplicaciones pueden, sin embargo, funcionar todavía como puntos de infección. Dado que el Internet Explorer 7 se distribuye en los los sistemas de Windows XP a través de las actualizaciones automáticas --ahora incluso sin la autenticación de WGA--, es probable que el número de usuarios afectado siga subiendo.
Para resolver el problema de una vez por todas, se le exigiría a Microsoft que suelte un parche que cambie el comportamiento de Windows XP, por ejemplo por la forma consistente de Windows Vista. Sin embargo, investigadores de Heise Seguridad han revelado [1] que dicha solución no está justamente en los planes de Microsoft.
Fuentes:
http://www.heise-security.co.uk/news/97094/
http://www.kriptopolis.org/vulnerabilidad-xp-con-pdf
http://www.hispasec.com/unaaldia/3271
http://www.vsantivirus.com/vul-adobe-cve-2007-5020.htm
Actualización 1:
Grave problema de URI afecta a Acrobat Reader en XP
Actualización 2:
Microsoft Outlook también cayó en la trampa de URI
Traducción: Sebastian para www.segu-info.com.ar/
Adobe ha publicado un anuncio de seguridad que advierte sobre un problema de seguridad crítico y describe cómo los usuarios pueden protegerse. Como mencionabamos hace unos días en Segu-Info, Adobe Reader Standard, Professional y Elements incluso la versión 8.1 y Adobe Acrobat 3D están afectados.
La vulnerabilidad evidentemente se relaciona al ya descrito problema de Windows con las URI [1]. Como muchas otras aplicaciones, el Adobe’s Viewer pasa URLs, sobre las que no se considera responsable, al sistema operativo vía ShellExecute(). Windows XP con Internet Explorer 7 instalado reacciona a URLs de la siguiente forma:
mailto:test%.. /.. /.. /.. /windows/system32/calc.exe".cmdabre la calculadora de Windows. Si el IE7 no está instalado, el responsable de negociar las URL — por ejemplo el Outlook Express — es ejecutado. Si ocurre sobre Windows Vista, se visualiza un mensaje del error. Este confuso comportamiento puede ser reproducido seleccionando Start/Run e ingresando la cadena anterior en la caja de diálogo que está corriendo. El problema, no se limita a las URLs del tipo ‘mailto’.
Bajo Windows XP con IE7, muchas aplicaciones que antes del IE7 eran seguras ahora pueden explotarse y usarse apropiadamente las URLs como entradas apuntando tanto para malware como para spyware. Firefox y Skype ya han respondido al problema y han liberado actualizaciones para proteger a los usuarios. El problema es particularmente grave en el caso de las aplicaciones de Adobe, por la cantidad de usuarios que abren archivos PDF sin una segunda intención, y podrán ejecutarse automáticamente peligrosas URLs al hacer esto.
El workaround descrito por Adobe involucra modificar de mailto:2 a mailto:3 el valor de tSchemePerms que se localiza en las siguientes entradas del registro:
Acrobat: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Adobe Acrobat\8.0\FeatureLockDown\cDefaultLaunchURLPermso
Reader: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\8.0\FeatureLockDown\cDefaultLaunchURLPermsEsto previene la ejecución de URLs ‘mailto’. Después de hacerlo, el archivo de prueba generado por Heise Seguridad solo muestra un mensaje del error.
El Equipo de Incidentes de Seguridad de Adobe ha informado a Heise Seguridad que planean lanzar una actualización para proteger a los usuarios de este problema a finales de octubre. Netscape, Miranda, el mIRC y probablemente muchas otras aplicaciones pueden, sin embargo, funcionar todavía como puntos de infección. Dado que el Internet Explorer 7 se distribuye en los los sistemas de Windows XP a través de las actualizaciones automáticas --ahora incluso sin la autenticación de WGA--, es probable que el número de usuarios afectado siga subiendo.
Para resolver el problema de una vez por todas, se le exigiría a Microsoft que suelte un parche que cambie el comportamiento de Windows XP, por ejemplo por la forma consistente de Windows Vista. Sin embargo, investigadores de Heise Seguridad han revelado [1] que dicha solución no está justamente en los planes de Microsoft.
Fuentes:
http://www.heise-security.co.uk/news/97094/
http://www.kriptopolis.org/vulnerabilidad-xp-con-pdf
http://www.hispasec.com/unaaldia/3271
http://www.vsantivirus.com/vul-adobe-cve-2007-5020.htm
Actualización 1:
Grave problema de URI afecta a Acrobat Reader en XP
Actualización 2:
Microsoft Outlook también cayó en la trampa de URI
Traducción: Sebastian para www.segu-info.com.ar/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!