Una vulnerabilidad de hace 6 años presente en casi todos los visores PDF

Share this…

Hoy en día, durante el desarrollo de prácticamente cualquier tipo de aplicación se utilizan distintas librerías que permiten mejorar las aplicaciones y dotarlas de funciones y características aprovechando código ya escrito, generalmente por otros desarrolladores, en lugar de tener que escribirlo completo desde cero. Aunque estas técnicas son muy útiles, los desarrolladores deben tener mucho cuidado a la hora de incluir librerías de terceros en sus proyectos, y es que si una de ellas es vulnerable, toda su aplicación estará en peligro, y sus usuarios quedarán expuestos a posibles ataques informáticos, como acaba de ocurrir con la mayoría de los visores PDF.

Hace algunas horas, Hanno Böck, desarrollador de software alemán, ha hecho eco de una vulnerabilidad presente en una librería de terceros creada en 2011 que, por desgracia, está siendo utilizada por la mayoría de los visores de documentos PDF.

Este fallo fue detectado originalmente hace 6 años en Evince, un visor de documentos PDF para Linux. Cuando se intentaba abrir un determinado documento con una estructura concreta, la librería se bloqueaba, en programa entraba en loop y enseguida empezaba a consumir todos los recursos del ordenador hasta desbordar la memoria.

El fallo nunca llamó la atención de los desarrolladores ni de las empresas de seguridad. Fue solucionado y, como solo afectaba a una aplicación no muy conocida para Linux, pasó prácticamente desapercibido, hasta ahora.

Vuelve el fallo a los visores de documentos PDF

Aunque en estos 6 años esta vulnerabilidad había quedado en el olvido, este mismo desarrollador alemán acaba de detectar un comportamiento similar en un gran número de visores PDF. Este desarrollador ha podido demostrar cómo el fallo está presente en PDFium, la librería para abrir estos documentos en Google Chrome, en pdf.js, la librería para Firefox, e incluso en Windows Runtime PDF Renderer, la librería utilizada por Windows y Edge para abrir estos documentos.

Otras aplicaciones de código abierto, como Ghostscript y QPDF, también están afectadas por el mismo fallo.

No se sabe cómo ha podido llegar este fallo de hace 6 años a todos estos visores de documentos, aunque lo más probable es que todos se hayan estado basando en librerías cruzadas entre todos ellos, librerías que, probablemente, estén basadas en la original de Evince, antes incluso de ser actualizada para solucionar el fallo de seguridad.

Este desarrollador ya ha avisado a los responsables de los visores PDF afectados por este fallo, por lo que, poco a poco, los principales desarrolladores irán actualizando sus librerías para solucionar este absurdo fallo en sus correspondientes visores. Eso sí, por una vez, Adobe no ha hecho las cosas mal, y es que Adobe Reader es de las pocas aplicaciones que no son vulnerables.

Fuente:https://www.redeszone.net/2017/09/05/fallo-seguridad-libreria-pdf-6-anos/