La enorme popularidad de los productos de Adobe hace que cada fallo de seguridad, logre un buzz comparable al que reciben Microsoft o Apple cuando sufren este tipo de problemas. Y lo peor de todo, es que la compañía no parece hacer demasiado para evitarlo, porque el último parche de Adobe Reader todavía está afectado por la vulnerabilidad más grave que pretendía corregir.
Tras eternos tres meses, se publicó una actualización para el lector de ficheros PDF, que *buscaba evitar el control remoto del ordenador a través de la funcionalidad /Launch**. La misma, combinada con ingeniería social, permitía lanzar cualquier aplicación por medio de engaños al usuario.
Sin embargo, la corrección no fue completamente efectiva. Pese a que se implementó una lista negra* para impedir la apertura de ciertos archivos (por ejemplo, ejecutables) con la idea de mitigar los riesgos, dicha protección puede saltarse facilmente con la simple inclusión de unas comillas, según explicó el investigador Le Manh Tung.
Este inconveniente fue reconocido por Adobe, prometiendo investigar las causas, de algo que lleva demasiado tiempo sin solucionarse de forma completa. Como si esto fuera poco, durante el fin de semana, fue ofrecida una versión incorrecta de la aplicación para todo el que quiso actualizarse a través de la web.
Lejos de hacer leña del árbol caído, lo cierto es que hay poco esmero en atender a las vulnerabilidades o recibir los bugs que puedan aportar los usuarios. Una muestra de ello, es que el sistema de reporte estuvo inactivo por meses, así como la manera en que son desestimados rápidamente los reclamos más comunes. Mientras tanto, continúan apareciendo exploits y cada vez debemos prestar más atención a cada contenido que abrimos. O explorar alternativas, que con Reader puede ser sencillo, pero no lo es tanto con plugins como Flash.
Vía: ZDNet