(Por El Microsaurio) Hace quince días te comenté varias fallas que afectaban a los usuarios de Acrobat y Reader, los productos de Adobe para generar y leer archivos PDF. El nuevo guru de seguridad de Adobe, Brad Arkin, hizo un montón de promesas (eso te lo conté a fin de mes) y ahora tenemos la continuación de la novela. Adobe reconoce el ataque vía PDF y promete parche para Mac
El jueves pasado la gente de Adobe modificó el Boletín de Seguridad 09-06 del 12 de mayo, donde estaban mencionadas las versiones de Acrobat y Reader emparchadas que había que descargar, y agregaron que actualizaban el boletín porque habían detectado ataques a las versiones Windows y Unix del Reader. Una frase de este Boletín es particularmente interesante: “These issues are remotely exploitable”. Lo cual en buen criollo significa que una vez que se ejecute el código de ataque, un agresor ubicado al otro lado de La Nube de Internet te podrá empomar a su placer.
Que se haya publicado la aceptación de que los ataques son reales nos deja más tranquilos, porque hace un mes y pico que están circulando por Internet unos correos electrónicos que contienen PDF adjuntos convenientemente “envenenados”.
De lo que se habló menos es de los ataques “dirigidos”. El mecanismo es más o menos éste: Llega un email dirigido a un capo de una empresa. Dentro del texto del mail se menciona un presupuesto, o un estudio, que está en un PDF. Por supuesto, en el email está el link al PDF, que figura alojado en un website de un proveedor de la compañía.
Ya te podés imaginar lo que sucede en este caso. El capo hizo clic al link, descargó y abrió el PDF con su Internet Explorer o su Firefox. Como el Señor Capo no hizo caso a las advertencias de deshabilitar el JavaScript de su navegador, se ejecutó un código oculto en el documento y… chau contraseñas de la empresa.
Tardaron en reconocerlo, pero al menos dieron la cara. Además parece que mañana martes aparecerán más Boletines de Seguridad de Adobe, en fecha coincidente con los de Microsoft. Sigan haciendo buena letra, muchachos de Adobe. Los sufridos usuarios de su software se lo agradecerán. Y esperemos que esos mismos usuarios ya hayan descargado las actualizaciones. Más les vale.