Empieza el año con una importante vulnerabilidad en el plugin para la lectura de archivos en formato PDF de Adobe Acrobat en sus versiones 6.x y 7.x. La gravedad del agujero de seguridad es enorme ya que teniendo en cuenta que es bastante habitual encontrar sitios web que ofrezcan la posibilidad de descargar algún documento en este formato, supone elevar la cifra de sitios vulnerables a enormes cifras. Un ataque de este tipo consistiría en invocar un archivo pdf con varios parámetros a través de una URL, permitiendo, según informan en el aviso original, ejecutar código en Firefox, ataques DoS en Explorer y el robo de sesiones en Firefox, Opera y Explorer.
Para protegernos de este problema dependerá de si la solución la tomamos para proteger un sitio web o nuestra máquina ya que por si fuera poco, el regalito también funciona en local. Para ello podremos optar por actualizar el plugin a la versión 8 (excepto los usuarios de Linux que no disponen de ella), cambiar de visor de PDFs, deshabilitar Javascript, no abrir PDFs en el navegador o utilizar extensiones (PDF Download) que nos ayuden en esta tarea. Si por el contrario queremos asegurar nuestro sitio web algunas de las contramedidas que podemos tomar pasan por la eliminación (al menos temporalmente) de los PDFs para descarga en el sitio o reconfigurar el servidor web para que descargue los archivos y no los abra en el navegador.
Ataque PDF: Todos vulnerables (Kriptópolis)