Una vez más, una vulnerabilidad reportada por Project Zero sale a luz, esta vez sobre Adobe Reader y podría permitir a un atacante tomar el control de los sistemas afectados.
Los fabricantes van a tener una cosa clara, si Project Zero llama a tu puerta date prisa en parchear. El plazo son 90 días o los problemas saldrán a la luz con todos los detalles. Sin excusas.
En esta ocasión, el fabricante vuelve a ser Adobe aunque el software afectado es el lector de pdfs Adobe Reader X y XI para Windows y Mac. El problema reside en un desbordamiento de búfer basado en "heap" en CoolType.dll.
El problema fue reportado por Mateusz Jurczyk de Google Project Zero el 30 de octubre del pasado año. En diciembre Adobe confirmó la vulnerabilidad, la asignación del identificador CVE-2014-9160 y su corrección en el siguiente boletín de seguridad periódico para Acrobat y Reader.
Sin embargo, según Mateusz, la actualización adelantada por Adobe no incluía corrección para el problema en la plataforma Mac. Por lo que el caso se mantenía abierto hasta que estuviera solucionado en todas las plataformas.
Han pasado varias actualizaciones desde que Adobe confirmara la próxima publicación del parche pero el problema no ha sido corregido. Por lo que finalmente Project Zero, fiel a su política, ha dado a conocer todos los detalles del problema. Prueba de concepto incluida.
¿Son suficientes 90 días para corregir una vulnerabilidad en un producto? ¿Es necesario hacer públicos todos los detalles del problema antes de que se publique el parche?
________________________________________
Tomado de: http://seguinfo.blogspot.com/2015/02/nuevo-anuncio-de-google-project-zero.html?m=1#nuevo-anuncio-de-google-project-zero Se respetan derechos de autor.