Adobe debe lanzar nuevo parche para corregir vulnerabilidad crítica

Después de descubrir que la primera corrección podía ser eludida, la compañía deberá lanzar una segunda actualización de Adobe Reader

Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, Adobe acaba de lanzar un segundo parche de actualización para corregir una vulnerabilidad día cero en Adobe Reader, esto debido a que el primer parche no consiguió corregir el error.

La vulnerabilidad, rastreada como CVE-2019-7089, es un problema de filtrado de información sensible que, en primera instancia, habría sido corregido en la actualización de Adobe de febrero. Este error afecta las versiones Acrobat DC, Acrobat Reader DC, Acrobat 2017 Classic, y Acrobat Reader DC en equipos con sistemas Windows y macOS.

Después del lanzamiento del primer parche de actualización, un experto en seguridad en redes informó a Adobe sobre el descubrimiento de un método para esquivar la corrección, por lo que el error seguía presente. “Al parecer la vulnerabilidad no fue parcheada adecuadamente. Descubrí una forma de evasión que voy a reportar a Adobe”, posteó el investigador en su cuenta de Twitter.

Esta vulnerabilidad es similar a la conocida como BadPDF, permitiendo a los usuarios maliciosos explotar las debilidades de una función de integración de contenido en Adobe Reader, forzando al software a enviar solicitudes a un servidor bajo el control de los atacantes cuando se abre un archivo PDF.  

Esta técnica de ataque, bautizada como “telefonear a casa” por los expertos en seguridad en redes, permite a los hackers obtener valores de contraseñas con hash, además de alertarlos cuando un archivo se encuentra abierto en el equipo de la víctima.

Después de descubrir que la vulnerabilidad no fue corregida adecuadamente se le asignó una nueva clave de CVE (CVE-2019-7815). Se espera que este segundo parche de actualización contemple el bypass descubierto por el investigador.

Según los reportes de seguridad de la compañía, hasta ahora no existen evidencias de que la vulnerabilidad haya sido explotada en escenarios reales, aunque recomienda encarecidamente a los usuarios de Adobe que actualicen sus servicios a la brevedad para mitigar cualquier riesgo de explotación.