Actualización de Acrobat y Reader para hacer frente a una nueva brecha de día cero
Adobe ha lanzado nuevas actualizaciones de Acrobat y Reader para hacer frente a una vulnerabilidad de día cero en Flash.
A principios de la pasada semana, Adobe lanzó una versión actualizada de Adobe Flash, si bien días después ha hecho lo propio con las actualizaciones de Acrobat y Reader, ambos programas vulnerables a otro componente defectuoso de Flash. Es la segunda vez en cuatro semanas que Adobe tiene que reconocer una vulnerabilidad de día cero en Flash, aunque dice que no están relacionadas. “Las dos vulnerabilidades existían en dos partes diferentes del código y en diferentes ActionScript Virtual Machines”, explica su aviso de seguridad.
Las actualizaciones para Acrobat y Reader de Adobe han llegado antes de lo esperado, quizá en respuesta a los más recientes exploits. El aviso de Adobe explica que “hay noticias de que esta vulnerabilidad está siendo activamente explotada, tanto en Adobe Flash Player, y Adobe Reader y Acrobat, así como mediante un archivo Flash (.swf) insertado en un documento Microsoft Word (.doc) o Microsoft Excel (.xls) enviado mediante un adjunto de un correo electrónico que ataca a la plataforma Windows”.
Mila Parkour, quien reportó la vulnerabilidad en Adobe, ha registrado numerosos documentos PDF 
maliciosos que explotaban el fallo. Los PDF llevan nombres que hacen referencia a información sobre China, Rusia, la administración Obama y Oriente Medio. Estos PDF maliciosos van adjuntos en mensajes supuestamente enviados por reporteros del New York Times, aunque en realidad proceden de servidores de Utah y China.
El software afectado por esta nueva vulnerabilidad es Adobe Reader X (10.0.1) y versiones anteriores para Windows; Adobe Reader X (10.0.2) y versiones anteriores para Macintosh, y Adobe Acrobat X (10.0.2) y versiones anteriores para Windows y Macintosh. Las actualizaciones para Acrobat y Reader pueden descargarse de la página de Adobe. Adobe Reader para Android no se ha visto afectado por este error, por lo que no necesita parchearse, tal y como ha advertido la compañía, que lanzará un parche Android para la vulnerabilidad en Flash en breve.
A pesar de esta actualización imprevista, Adobe mantiene su ciclo de actualizaciones trimestrales y el próximo parche llegará en junio para las versiones Windows de Adobe Reader X. Adobe afirma que el modo de seguridad protegido (sandbox) de Reader X para Windows evitará que se ejecute cualquier exploit, por lo que no considera una prioridad desarrollar una actualización no programada.
