PDA

Ver la versión completa : Adobe avisa de vulnerabilidad "0-day" en Adobe Reader y Acrobat



4v7n42
08-12-2011, 18:08
Adobe ha publicado el aviso de seguridad APSA11-04 en el que confirma la existencia de una vulnerabilidad en diferentes versiones de Adobe Reader y Acrobat. El problema que permite la ejecución de código está siendo aprovechado por atacantes.

La vulnerabilidad, con CVE-2011-2462, se ha considerado como crítica y afecta a Adobe Reader X (10.1.1 y versiones anteriores) para Windows y Macintosh, Adobe Reader 9.4.6 (y versiones 9.x anteriores) para UNIX, y Adobe Acrobat X (10.1.1) y versiones anteriores para Windows y Macintosh.


http://1.bp.blogspot.com/-iPcds0mYo30/TtdjE5C7yqI/AAAAAAAAAFU/sddvzfZivEY/s200/adobe-logo.jpg

El problema reside en un problema de tratamiento inadecuado de datos del tipo U3D que puede dar lugar a errores de memoria. Adobe confirma que la vulnerabilidad puede provocar la caída del sistema y potencialmente permitir a un atacante tomar el control de los sistemas afectados. También se confirma que la vulnerabilidad se está explotando de forma activa en la actualidad, en ataques dirigidos contra Adobe Reader 9.x sobre Windows.

En el boletín de seguridad, la compañía informa que está finalizando una actualización para el problema en Adobe Reader 9.x y Acrobat 9.x para Windows, que estará disponible no más tarde de la semana que viene (la semana del 12 de diciembre de 2011).

Como Adobe Reader X Protected Mode y Adobe Acrobat X Protected View pueden proteger de la ejecución de un "exploit" de este tipo, se planea corregir este problema en Adobe Reader X y Acrobat X para Windows con la actualización de seguridad para Adobe Reader y Acrobat del próximo trimestre, actualmente programada para el 10 de enero de 2012. Igualmente, Adobe planea corregir el resto de versiones afectadas en dicha actualización.

El Modo Protegido y la Vista Protegida de Adobe Reader X (Adobe Reader X Protected Mode y Adobe Acrobat X Protected View) se encuentran activos por defecto y pueden evitar la ejecución de un ataque de este tipo. Para verificar que Protected View para Acrobat X está activo, en: Edición >Preferencias > Securidad (mejorada) y confirmar que se encuentran marcados "Archivos de ubicaciones potencialmente no seguras" o "Todos los archivos" con "Activar seguridad mejorada". Para verificar que el Modo Protegido de Adobe Reader X está activo, comprobar que en Edición >Preferencias >General se encuentra marcado "Activar modo protegido al iniciar”.

Más información:

Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa11-04.html


Fuente (http://unaaldia.hispasec.com/2011/12/adobe-avisa-de-vulnerabilidad-0-day-en.html)

sw00n
08-12-2011, 23:18
Cuanto menos interesante.

brianne
09-12-2011, 00:47
Aquí hay el bug,

pdfxray.com/interact/517fe6ba9417e6c8b4d0a0b3b9c4c9a9/
y para más información:
blog.9bplus.com/analyzing-cve-2011-2462

chewarrior
09-12-2011, 23:31
Y cuando Dios repartio los cerebros DIJO: solo media racion para los desarrolladores de Adobe.

Odio Adobe y sobre todo a su plugin de mierd, pero que asco me dan.... encima no tengo alternativa, tengo que tragarme su plugin por cojones.

sw00n
10-12-2011, 00:04
Tú como llevas en internet dos días pues los odias. Cuando Flash salió (y durante muchos años) Flash era realmente lo puto mejor, era la única manera de hacer algo a derechas.

chewarrior
10-12-2011, 01:28
Tú como llevas en internet dos días pues los odias. Cuando Flash salió (y durante muchos años) Flash era realmente lo puto mejor, era la única manera de hacer algo a derechas.


El problema es que adobe quiere que su plugin sea un estandar(creo que ya lo es) para reproducir video, cuando en html5 ya esta integrada la etiqueta <video> con la que no hay k ir cargando plugins inutiles para la reproducion de videos.

sw00n
10-12-2011, 01:37
De momento los reproductores de vídeo html5 son una puta mierda, así es que queda Flash para rato

4v7n42
10-12-2011, 06:10
De momento los reproductores de vídeo html5 son una puta mierda, así es que queda Flash para rato

Y si la verdad si. Puse youtube en HTML5 y muy a mi pesar tuve que volver a flash, una porqueria era.

hckr
10-12-2011, 09:40
De momento los reproductores de vídeo html5 son una puta mierda, así es que queda Flash para rato

Tú lo has dicho, de momento. Los reproductores puede que sean una mierda, pero las páginas que complementan html5 con css3 son la polla, sin tener que echar mano de flash y pudiéndose reproducir en dispositivos móviles (si admiten html5, claro).

Aquí tenéis una página con un montón de demos de html5 y APIs, que mirando el código fuente se pueden entender fácilmente. http://html5demos.com/ para hacer esto con flash la que hay que armar... y por si no habéis visto realmente el potencial de html5 con jquery aquí tenéis http://webdesignerwall.com/trends/47-amazing-css3-animation-demos .

Un saludo.

chewarrior
10-12-2011, 16:23
Tú lo has dicho, de momento. Los reproductores puede que sean una mierda, pero las páginas que complementan html5 con css3 son la polla, sin tener que echar mano de flash y pudiéndose reproducir en dispositivos móviles (si admiten html5, claro).

Aquí tenéis una página con un montón de demos de html5 y APIs, que mirando el código fuente se pueden entender fácilmente. http://html5demos.com/ para hacer esto con flash la que hay que armar... y por si no habéis visto realmente el potencial de html5 con jquery aquí tenéis http://webdesignerwall.com/trends/47...nimation-demos .

Un saludo.


Al final todo son intereses, lo del los dispositivos moviles, tablets.... y adobe ya es de risa, si el fabricante no actualiza su firmware olvidate del pornotube, (solucion) compra su nuevo dispositivo, se les ve el plumero señores.

sw00n
10-12-2011, 20:31
Tú lo has dicho, de momento. Los reproductores puede que sean una mierda, pero las páginas que complementan html5 con css3 son la polla, sin tener que echar mano de flash y pudiéndose reproducir en dispositivos móviles (si admiten html5, claro).

Aquí tenéis una página con un montón de demos de html5 y APIs, que mirando el código fuente se pueden entender fácilmente. http://html5demos.com/ para hacer esto con flash la que hay que armar... y por si no habéis visto realmente el potencial de html5 con jquery aquí tenéis http://webdesignerwall.com/trends/47-amazing-css3-animation-demos .

Un saludo.

Lo que es la polla es tener que fijarse en la lista de navegadores que lo soportan para cada característica. Eso con Flash no pasa, está todo soportado en todos los navegadores de todas las plataformas.