Si algo anunciaba Adobe, a bombo y platillo, en el pasado otoño era, precisamente, la llegada de Adobe Reader X que traería de la mano el fin de las vulnerabilidades que tanto habían dado que hablar, y más de un dolor de cabeza habían generado en Adobe, durante el final de 2010. Pues bien, parece ser que Adobe Reader X llegó y, al poco tiempo, parece ser que ya le han descubierto la primera vulnerabilidad, a pesar de los esfuerzos del fabricante en blindar su sistema y en la implementación del sandbox para mejorar la seguridad del producto.
Según publica en su blog, el experto en seguridad Billy Rios, el famoso sandbox de Adobe es vulnerable. En palabras del propio Rios:
> Desafortunadamente, estas restricciones no equivalen a decir que "no es posible la comunicación con la red en ningún sentido", que es lo que pone la documentación de Adobe. La manera más sencilla de saltarse el sandbox es, simplemente, usar una llamada file:// hacia un servidor remoto. Afortunadamente, parece que únicamente podemos realizar llamadas a direcciones IPs y nombres de hosts que estén en la misma red local que el equipo que esté usando Adobe Acrobat. Si un atacante quisiese enviar datos hacia un servidor que estuviese en Internet, tendría que aplicar algunos trucos más y sería algo más complejo.
¿Tantos esfuerzos de Adobe no han servido de nada?, aparentemente, se podría decir que no, pero de todos es sabido que cualquier aplicación suele tener algún fallo que otro. De hecho, algunos expertos en seguridad coinciden en que el sandbox es una buena medida de protección, aunque no es perfecta y, por tanto, invulnerable. Según Anup Ghosh, de Invincea, una empresa de seguridad que estuvo asesorando a Adobe en el desarrollo de Adobe Reader X:
> Cuando Adobe anunció sus planes de desarrollar el Reader X, les recomendamos que usasen el sandboxing como solución a la mayoría de vulnerabilidades y exploits que amenazaban el producto. Les advertimos que esta técnica era un paso hacia la dirección adecuada, si bien aún se mantendría cierto riesgo residual que podría ser una amenaza si alguien exploraba esa senda
Bueno, pues parece ser que así ha sido y alguien ha encontrado la primera vulnerabilidad del blindado Adobe Reader X.
Vía: PC World