int(2928)

Boletines de Vulnerabilidades


Múltiples vulnerabilidades en Adobe Reader y Adobe Acrobat

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado Adobe Reader
Adobe Acrobat 7.0.8
Adobe Acrobat Reader Plugin <= 8.0.0

Descripción

Se han descubierto múltiples vulnerabilidades en Adobe Reader y en Adobe Acrobat 7.0.8 y en versiones anteriores y en Adobe Acrobat Reader Plugin anteriores al 8.0.0 para navegadores. Las vulnerabilidades son descritas a continuación.

- CVE-2006-5857: Se ha descubierto una vulnerabilidad en Adobe Reader y en Acrobat 7.0.8 y en versiones anteriores. La vulnerabilidad reside en un error mientras se realiza el renderizado de un PDF. Un atacante remoto podría ejecutar código mediante un archivo PDF especialmente construido que provocaría una corrupción de memoria y sobrescribiría un puntero de subrutina.

- CVE-2007-0046: Se ha descubierto una vulnerabilidad en el plugin de Adobe Acrobat Reader en versiones anteriores a 8.0.0 para Mozilla Firefox 1.5.0.7. La vulnerabilidad reside en un error en la función javascript "document.write()". Un atacante remoto podría ejecutar código arbitrario mediante los parámetros de las peticiones FDF, XML, o XFDF AJAX.

- CVE-2007-0048: Se ha descubierto una vulnerabilidad en el plugin de Adobe Acrobat Reader en versiones anteriores a 8.0.0 para Internet Explorer. La vulnerabilidad reside en un error cuando maneja ciertas URL. Un atacante remoto podría causar una denegación de servicio mediante una secuencia larga de el carácter # añadido a una dirección URL de PDF.

Solución



Actualización de software

Adobe Reader
Actualizar a la versión 8.0.0.
http://www.adobe.com/go/getreader

Suse Linux
Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux

Sun(102847)
Solaris 10 / SPARC / patch 121104-02
http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage

Adobe(APSB09-15)
Acrobat Standard and Pro / Windows
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Acrobat Pro Extended / Windows
http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows
Acrobat 3D / Windows
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows.
Acrobat Pro / Macintosh
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.

Identificadores estándar

Propiedad Valor
CVE CVE-2006-5857
CVE-2007-0046
CVE-2007-0048
BID

Recursos adicionales

Adobe Security bulletin (APSB07-01)
http://www.adobe.com/support/security/bulletins/apsb07-01.html

SUSE Security Advisory (SUSE-SA:2007:011)
http://www.novell.com/linux/security/advisories/2007_11_acroread.html

Sun Alert Notification (102847)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102847-1

Adobe Security Bulletin (APSB09-15)
http://www.adobe.com/support/security/bulletins/apsb09-15.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2007-01-12
1.1 Aviso emitido por Suse (SUSE-SA:2007:011) 2007-01-30
1.2 Aviso emitido por Sun (102847) 2007-03-15
1.3 Aviso actualizado por Sun (102847) 2007-05-02
1.4 Aviso emitido por Adobe (APSB09-15) 2009-10-15

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT