A Adobe já prometeu corrigir as versões defeituosas do seu popular leitor de arquivos PDF Adobe Reader nos próximos dias, para acabar com uma falha que muitos pesquisadores afirmaram poder ser a pior do ano. A falha no Adobe Reader foi publicada na última semana por empresas de segurança, que afirmaram que atacantes podem usar arquivos PDF para o carregamento de códigos JavaScript maliciosos.
A Adobe postou um alerta de segurança em seu site na última semana com detalhes da falha. "Uma vulnerabilidade de cruzamento de scripts (XSS) nas versões 7.0.8 e posteriores do Adobe Reader e do Adobe Acrobat permite que atacantes remotos possam injetar códigos JavaScript arbitrários através de um navegador", segundo o alerta. A Adobe não divulgou uma data para o lançamento da correção e recomenda que os usuários, se possível, migrem para o Adobe Acrobat 8.
"Para usuários que não podem fazer a atualização, o time de Engenharia de Softwares Seguros está trabalhando com o time de Engenharia do Adobe Reader para a criação de uma versão 7.0.9 que resolverá a falha", afirma o alerta. Muitos pesquisadores afirmam, porém, que a correção não virá tão cedo e garantem que a falha é muito mais perigosa do que a Adobe afirma publicamente.
"Quando vi a falha pela primeira vez, achei que ela tinha o mesmo impacto de outras falhas XSS", segundo Jeremiah Grossman, chefe tecnológico da WhiteHat Security. "Mas um hacker me mostrou que é possível criar sites que apontam para arquivos PDF dentro do sistema e isso pode ser usado para ter acesso aos arquivos localmente, pelo menos em modo leitura". Basta o acesso para escrita de dados também ser possível para que a falha possa ser usada na execução de malwares remotamente.
Mais informações: CRN
