Adobe Acrobat Reader DC afectado por la vulnerabilidad de ejecución remota de código
Una vulnerabilidad de ejecución de código remoto crítica descubierta en Adobe Acrobat Reader DC que realizará un desbordamiento del búfer(es un espacio de memoria) y ejecutará el código orbitario cuando los usuarios abran el documento vulnerable de Adobe.
Esta vulnerabilidad Critical RCE afectó la versión de Adobe Acrobat Reader DC 2018.009.20044 y anteriores.
Adobe Acrobat Reader es el lector de PDF más popular y que tiene más características. Tiene una gran base de usuarios, generalmente es un lector de PDF predeterminado en los sistemas y se integra en los navegadores web como un complemento para la renderización de archivos PDF.
En este caso, un atacante enviaria el documento malicioso específicamente creado por correo electrónico o engañando a un usuario para que visite una página web maliciosa y haga que el usuario ejecute el documento malicioso y active esta vulnerabilidad.
La aplicación Adobe Acrobat Reader DC es compatible con el javascript incrustado en el documento de Adobe y le permite trabajar en formato PDF.
Este fallo podría ser fácilmente usado por un atacante usando la vulnerabilidad.
Según Aleksandar Nikolic de Cisco Talos, al analizar un archivo PDF con un campo ID de documento demasiado grande especificado la muestra, se analiza correctamente inicialmente, pero cuando se hace referencia en javascript, puede producirse un desbordamiento del búfer al codificar los bytes en un string Hex.
Una muestra del ID del documento:
trailer <<
/Root 1 0 R
/ID <AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA><a>
>>
En este caso, Cisco proporciona un javascript simple para activar esta vulnerabilidad crítica de ejecución remota de código:
41 0 obj <<
>>
stream
this.docID;
endstream
endobj
"La parte especificada del campo ID del documento se decodifica hexadecimal en una secuencia de bytes. Cuando se elimina la referencia de un this.docID en javascript, esta secuencia de bytes se codifica de nuevo en una cadena de caracteres ascii hexadecimal de nuevo en EScript + 0x9e7c0"
Esta vulnerabilidad se ha notificado a Adobe y el parche se ha realizado y publicado una actualización en 2018-02-13 con CVE-2018-4901.