Adobe parchea a medias su vulnerabilidad casi un mes después, mientras Foxit Reader lo soluciona en 10 días

'La ShadowServer Fundation advirtió el día 19 de febrero de una potencial vulnerabilidad en Adobe Acrobat Reader que podría permitir a un atacante ejecutar código arbitrario. Al descubrirse el problema mientras estaba siendo aprovechado activamente por atacantes, se convierte en un grave 0day. Adobe reconoció la vulnerabilidad y esperó al día 10 de marzo para publicar parche solo para algunas versiones. Foxit Reader, afectada por un problema muy parecido, necesitó solo 10 días para solucionar el fallo.

Es más que probable que el fallo fuese conocido incluso desde hace bastante más tiempo, y que Adobe tuviese constancia de su existencia. Pero solo lo reconoció el mismo día en el que la ShadowServer lo hizo público. El día 23, para complicar el asunto, aparece un exploit público para múltiples lectores PDF, que permite una denegación de servicio aprovechando los flujos JBIG2, base del problema de Adobe.'

'Adobe lo soluciona un día antes del prometido, pero solo a medias. Publica la versión 9.1 para Windows, olvidando las ramas 8 y 7 para otros sistemas operativos.

Para colmo, recientemente se ha descubierto una nueva forma mucho más sencilla de aprovechar la vulnerabilidad. Un nuevo vector de ataque que permite incluso ejecutar código sin necesidad de abrir el archivo con el lector. A través del explorador de Windows, simplemente mostrando una carpeta que contenga un documento PDF especialmente manipulado (y basándose en el servicio de indexación, que debería estar activo), sería posible ejecutar código en el sistema.'

Fuente y noticia completa: Una al día de Hispasec 11/03/2009