Adobe Acrobat DC - Vulnerabilidad de ejecución de código remoto



Un reciente reporte de Cisco Talos alerta de una vulnerabilidad critica por desbordamiento de buffer, descubierta por el analista Aleksandar Nikolic, la cual permite a un atacante ejecutar código de forma remota a través de Javascript embebido en un PDF malicioso. 

Nikolic, en su reporte indica que al analizar un archivo PDF con el campo "document ID" excesivamente grande se puede observar que al principio es gestionado correctamente:

trailer <<  /Root 1 0 R  /ID   <AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAA><a>  >>

Pero cuando se hace referencia a ese id anterior mediante código Javascript embebido  puede  ocurrir un desbordamiento de búfer. Una simple llamada como "this.docID" podría generar el desbordamiento de memoria. 

41 0 obj <<
>>
stream
    this.docID;
endstream
endobj


Un atacante sólo tendría que distribuir o facilitar una web con un PDF malicioso con código Javascript para conseguir ejecutar código de manera arbitraria. 

Aunque no existen reportes de explotación previos de esta vulnerabilidad, clasificada como crítica, se recomienda actualizar a las últimas versiones de Acrobat y Reader lo antes posible.


Más información:

Adobe Acrobat Reader DC Document ID Remote Code Execution Vulnerability

https://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0505 

Security updates available for Adobe Acrobat and Reader | APSB18-02
https://helpx.adobe.com/security/products/acrobat/apsb18-02.html 

http://unaaldia.hispasec.com/2018/03/ejecucion-remota-de-codigo-en-adobe.html

https://nvd.nist.gov/vuln/detail/CVE-2018-4901