(Por Rubén Borlenghi, el Microsaurio) El martes pasado Adobe emitió los parches del trimestre, explicó problemas, solucionó vulnerabilidades, y modificó su base de Autoridades Certificantes. Porque… ¿vos sabías que existen PDF firmados digitalmente que reciben “confianza automática” por parte del Reader? ¿Ah, no?, Vení, enterate, y preocupate.
Así es, tal como leíste. Un maravilloso mecanismo de “seguridad” dentro de los Adobe Reader Nueve y Diez hace que éstos confíen automáticamente en determinados archivos PDF. Como te imaginarás, todo aquello en lo cual mi computadora pueda confiar automáticamente me pone los pelos de punta. Por ejemplo, en la autenticidad de un documento PDF (si es que es un documento…) Pero claro, esto es parte de un negocio al cual quiso subirse Adobe, la producción de textos criptográficamente firmados a los cuales se les pueda atribuir validez legal/comercial. Facturas electrónicas, contratos… muchachos y chicas, ese es el tema. Para poder generarlos con Adobe Acrobat, hay que pagar la licencia.
Pero primero es lo primero. El boletín de fallas de programación solucionadas. Se trata del APSB11-24 que encontrarás aquí, que menciona 13 vulnerabilidades emparchadas. ¿Cuáles pueden ser los vectores de ataque? Imágenes sabiamente modificadas insertadas en un PDF cuyo texto es “inocente”, DLL de tipografías cuya ejecución podría plantear la inserción de código dañino en la máquina… nada excesivamente novedoso.
¿Sistemas operativos afectados? Todos, es la lacónica afirmación del anónimo redactor del Boletín 11-24. Por “todos” se entiende Windows, Mac y Unixes varios. No, claro, los programas mencionados no corren sobre DOS, por suerte…
Agreguemos que, amablemente, se nos recuerda que el soporte para Adobe Reader y Acrobat versión 8 para Windows o Mac termina el 3 de noviembre de este año. Si algún inconsciente está usando esos productos todavía, por favor tome nota: a partir del 4 de noviembre, se inicia la temporada de caza contra sus máquinas.
Por fin, el asunto de los Certificados Digitales. Más exactamente, la eliminación de una Autoridad Certificante, la famosa DigiNotar dentro de la base de certificados existente en una instalación Reader o Acrobat desde la versión 9. Esa base de datos, llamada Adobe Approved Trust List (AATL), es la que permite identificar como auténtico un pdf de acuerdo a lo que indiqué antes. Las máquinas de los que usen las versiones “X”, a esta altura de la semana deberían haber recibido una actualización modificatoria, especie de puntapié electrónico que debería borrar a DigiNotar de la lista incluida en el Reader o el Acrobat. Porque me imagino que programaron su Reader (los que lo usen) para descargar las actualizaciones, claro.
Para los usuarios de productos “Versión Nueve”, la cosa se hace a mano, de acuerdo con estas instrucciones trabajosamente preparadas con una Mac por el empleado de Adobe don John B. Harris. El cual, como era lógico, se equivocó en una indicación para usuarios Windows, que un usuario tuvo que señalar, tal como verás en el post correspondiente ahí abajo de la página mencionada.
Sin comentarios.
Usuarios de productos Adobe, vean que están en buenas manos…