Vulnerabilidades detectadas en Adobe Reader y Acrobat permiten ejecución de código

En noticias y circunstancias acontecidas en los últimos días, agencias de seguridad informáticas, así como también el CCN-CERT, estableció nuevas alertas específicamente para los programas de Adobe Acrobat y Adobe Reader. Estas vulnerabilidades han sido categorizadas con severidad Crítica ya que se puede obtener control del sistema mediante escalamiento de privilegios a través de la inyección de código arbitrario, sin restricción en algunos sistemas operativos.

La primera vulnerabilidad que se destaca, publicada mediante el CVE-2018-16011, tiene la característica de ser tipo use after free, el cual autoriza el funcionamiento de código arbitrario en sistemas como Mac o Windows, en la sesiones de usuario que estén presentes.

La segunda vulnerabilidad (publicada bajo el CVE-2018-19725) es del tipo security bypass deja que el código atacante obtenga los privilegios de manera escalable, de acuerdo a la ruptura de sus barreras de seguridad.  

Los ataques se emplean por medio de la apertura de archivos PDF, en una versión vulnerable del sistema. Esto provoca un error en el sistema anfitrión, originando puertas de entrada para aplicar comandos e inyección de malware  de manera remota.

Los analistas de Adobe han categorizado esta vulnerabilidad como categoría prioritaria de nivel 2, nivel correspondiente a severidad crítica y, por lo tanto, deben ser solventadas lo más rápido posible ya que existe un alto nivel de riesgo además de que pueden ser explotadas con rapidez.

Las versiones afectadas son Acrobat and Reader DC 2015 version 2015.006.30461 y anteriores, 2017 version 2017.011.30110 y anteriores, versión Continuous 2019.010.20064 y anteriores, tanto para Mac como para Windows.

Organizaciones como CCN-CERT recomienda hacer la descarga rápidamente de actualizaciones que han sido publicadas por Adobe recientemente.Una forma de actualizar es la de abrir las aplicaciones e ir hasta la pestaña de Ayuda y buscar la opción de comprobar las actualizaciones. Otra opción es la de activar las actualizaciones automáticas de Adobe durante la instalación de cualquiera de sus productos.

Se clausurará la red social Google+ por exponer datos confidenciales

Se denomina como Bug a una falla recurrente y espontánea durante la ejecución de un determinado  software o hardware. De vez en cuando los ‘bugs’ son iniciados por conflictos en los procesos encadenados para hacer funcionar una aplicación.

En las grandes compañías informáticas continuamente, se están probando y desarrollando aplicaciones que optimizan o mejoran el funcionamiento interno de otras aplicaciones, las cuales son persistentemente probadas antes de su lanzamiento, al mismo tiempo que son verificadas las posibles fallas que puedan presentarse.

La explotación de vulnerabilidades en grandes corporaciones parece estar a la moda en estos últimos meses. Inicialmente el incidente ocurrido a la filial de Marriott Internacional donde se revelaron datos de 510 millones de clientes, luego salio la compañía Quora mencionado que fueron comprometidos datos de 105 millones de usuarios.

En esta semana el titán de información Google develó que había sido víctima de la lista de incidentes informáticos ocurridos durante fines de 2018.

En una alerta se informó, que su distintiva red social conocida como Google+ había exhibido datos pertenecientes a poco mas de 510.000 usuarios, por salida inesperada de un bug en sus sistemas.

Según los anuncios, la vulnerabilidad se encontró presente al momento de generar la actualización correspondiente al mes de noviembre de la API (Interfaz de Programación de Aplicaciones) de Google conocida como “People:get”.

Durante los últimos 7 días, esta API no funcionó como se esperaba, lo que dejo expuestos datos pertenecientes a 53 millones de usuarios como nombres, apellidos, correos, edad, sexo, ocupación entre otros,  ya que la misma estaba programada para gestionar solicitudes de información relacionada con datos básicos de los usuarios por parte de los desarrolladores, quienes a su vez se percataron del bug vulnerable mientras realizan comprobaciones de rutina.

Esta eventual falla, ocasionó que Google apresura la clausura de la red social para abril de 2019 cuando estaba prevista para  agosto.

En el informe oficial Google establece que la falla  no fue explotada por ningún agente interno ni externo en el desarrollo de aplicaciones. Google como compañía confirma que la vulnerabilidad no expuso ningún tipo de información frágil o sensible, como contraseñas o datos de carácter financiero.

Es de saber que las grandes corporaciones informáticas poseen un grupo de especialistas informáticos ocupados y enfocados en monitorear, analizar, resolver y responder por las fallas o bugs que se presenten a la hora de manejar grandes e importantes volúmenes de datos y por consiguiente se detectarán si hay la existencia de fallas que exponen deliberadamente la información, mucho antes de que haga pública.