Vulnerabilidades en plugin de Adobe Reader 7 para navegadores bajo Windows
Se ha descubierto una vulnerabilidad en el plugin para navegadores de Adobe Reader que puede ser explotada por usuarios maliciosos para realizar ataques de tipo cross site scripting.
Las entradas enviadas a un PDF no son filtradas adecuadamente por el plug-in del navegador antes de ser enviadas de vuelta al usuario. Esto puede ser explotado para ejecutar código script arbitrario en la sesión del navegador, con el contexto del sitio afectado.
Un segundo problema reside en el plugin web al tratar parámetros mal construidos al pasarse a un documento PDF, lo que podría explotarse para provocar la caída de navegadores Firefox vulnerables o ejecutar comandos arbitrarios mediante el uso de una URL específicamente modificada.
El último de los errores se debe a un fallo al tratar con Internet Explorer una URL con un PDF seguida de una secuencia de gran tamaño de caracteres hash, esto podría emplearse por atacantes para consumir todos los recursos de memoria disponibles y crear una condición de denegación de servicio.
Las vulnerabilidades se han confirmado en la versión 6.0.1 para Windows usando IE6 y en la 7.0.8 para Windows con Firefox 2.0.0.1, no se descarta que pueda afectar a otras versiones del software.
Se recomienda actualizar a la versión 8.0.0: http://www.adobe.com/products/acrobat/readstep2.html