Si algo anunciaba Adobe, a bombo y platillo, en el pasado otoño era, precisamente, la llegada de Adobe Reader X que traería de la mano el fin de las vulnerabilidades que tanto habían dado que hablar, y más de un dolor de cabeza habían generado en Adobe, durante el final de 2010. Pues bien, parece ser que Adobe Reader X llegó y, al poco tiempo, parece ser que ya le han descubierto la primera vulnerabilidad, a pesar de los esfuerzos del fabricante en blindar su sistema y en la implementación del sandbox para mejorar la seguridad del producto.
Según publica en su blog, el experto en seguridad Billy Rios, el famoso sandbox de Adobe es vulnerable. En palabras del propio Rios:
Desafortunadamente, estas restricciones no equivalen a decir que "no es posible la comunicación con la red en ningún sentido", que es lo que pone la documentación de Adobe. La manera más sencilla de saltarse el sandbox es, simplemente, usar una llamada file:// hacia un servidor remoto. Afortunadamente, parece que únicamente podemos realizar llamadas a direcciones IPs y nombres de hosts que estén en la misma red local que el equipo que esté usando Adobe Acrobat. Si un atacante quisiese enviar datos hacia un servidor que estuviese en Internet, tendría que aplicar algunos trucos más y sería algo más complejo.
¿Tantos esfuerzos de Adobe no han servido de nada?, aparentemente, se podría decir que no, pero de todos es sabido que cualquier aplicación suele tener algún fallo que otro. De hecho, algunos expertos en seguridad coinciden en que el sandbox es una buena medida de protección, aunque no es perfecta y, por tanto, invulnerable. Según Anup Ghosh, de Invincea, una empresa de seguridad que estuvo asesorando a Adobe en el desarrollo de Adobe Reader X:
Cuando Adobe anunció sus planes de desarrollar el Reader X, les recomendamos que usasen el sandboxing como solución a la mayoría de vulnerabilidades y exploits que amenazaban el producto. Les advertimos que esta técnica era un paso hacia la dirección adecuada, si bien aún se mantendría cierto riesgo residual que podría ser una amenaza si alguien exploraba esa senda
Bueno, pues parece ser que así ha sido y alguien ha encontrado la primera vulnerabilidad del blindado Adobe Reader X.
Vía: PC World
La verdad,es que tampoco es para tanto,Google Chrome y Internet Explorer también usan sandboxing(aunque de distinta manera)y eso no significa que sean invulnerables,tienen bugs y exploits como los demás pero en muchísima menos medida,y más difíciles de explotar,hasta el descubridor del exploit admite que sería más complejo usarlo si fuera un ataque que no viniera de la propia red en la que se estuviese usando el Adobe Reader X. Un saludo.
no existe un software 100% seguro y esa es una ley
Yo sólo diré una cosa... cuantas empresas de software dedican e invierten tantos recursos en la seguridad de su software? Cuantas te avisan proactivamente de vulnerabilidad en cuanto se detectan (tienen un blog dedicado) y publican parches rápidamente? Eso sinceramente me da mucha más confianza...