Ilustración: Lou BeachAdobe hoy dijo que emitiría un parche de emergencia la semana del 16 de agosto para corregir una falla crítica en su Reader y Acrobat.

El fallo se dio a conocer por el investigador Charlie Miller en la conferencia Sombrero Negro del mes pasado la seguridad cuando se demostró que el conjunto de herramientas BitBlaze de código abierto podría ser utilizado para aumentar la productividad de la caza de errores de 10 veces.

Miller, un analista con sede en Baltimore Independent Security Evaluators, es bien conocida por encontrar vulnerabilidades en el popular visor de Adobe PDF Reader. En marzo pasado, Miller mostró como una herramienta de fuzzing simple podría acabar con decenas de posibles errores en el Reader, Microsoft Office, Vista previa de Apple y otros programas.

De acuerdo con un artículo publicado Miller después de la conferencia Sombrero Negro (descargar PDF), y otros, el error está en lector y el análisis de fuentes de Acrobat.

“Esto puede ser explotado para corromper la memoria a través de un archivo PDF que contenga una fuente especialmente diseñado TrueType”, declaró el danés vulnerabilidad tracker Secunia en un aviso publicado el miércoles. “Una explotación exitosa puede permitir la ejecución de código arbitrario.”

Jueves, Adobe anunció que lanzará un pico, o “fuera de banda” actualización de seguridad durante la semana del 16 al 20 agosto. Adobe publica sus actualizaciones de seguridad trimestral para Reader y Acrobat, los martes, y ha entregado soluciones de emergencia el mismo día de la semana. Si la empresa continúa con la práctica, lo más probable es entregar el parche fuera de la banda el 17 de agosto.

Adobe dio a entender que la actualización fuera de banda incluyen correcciones de vulnerabilidades que no sea el Miller descubierto. La compañía también dijo que seguiría su nave próxima actualización trimestral regularmente programada el 12 de octubre.

A pesar de la vulnerabilidad de Adobe comparte rasgos con el que actualmente se utilizan para “jailbreak” iOS de Apple el sistema operativo móvil – ambas implican el análisis de errores de la fuente – que no están vinculados, dijo Miller.

“Es sólo una coincidencia que ambos son errores en la manera de los programas de analizar las fuentes en archivos PDF”, dijo Miller en un correo electrónico de respuesta a las preguntas.

La vulnerabilidad que aprovecha el software de Apple es JailbreakMe ‘s visor de PDF, previa llamada, no en Adobe Reader, un hecho que Adobe trató de hacer claro ayer. “No todas las vulnerabilidades relacionadas con el PDF automáticamente las vulnerabilidades de Adobe”, argumentó Brad Arkin, director de Adobe, de seguridad y privacidad, señalando que el PDF antes de propiedad se publicó como un estándar abierto en 2008.

Adobe ha publicado varios fuera de la banda de actualizaciones de este año para el lector. Adobe ha publicado una actualización último lector de emergencia a finales de junio, cuando se trasladó a la ya programada 13 de julio fija en dos semanas más para hacer frente a los hackers un error ya estaban explotando. También corrió una solución de lector a los clientes en febrero.

El impulso para llegar a una solución para el último lector de día cero no afectará a trabajar en la próxima actualización importante para el programa, Adobe dijo que hoy en día. Lector 10, que debe enviar para Windows antes de que finalice el año, es incluir “sandboxing” la tecnología para aislar a los documentos PDF maliciosos – tales como el tipo que podría aprovechar la vulnerabilidad de Miller – para que no se puede infectar el PC.

Gregg Keizer cubre Microsoft, los problemas de seguridad, Apple, navegadores web y noticias sobre tecnología en general para romper Computerworld. Gregg seguir en Twitter en@ Gkeizer o suscribirte al feed RSS de Gregg. Su dirección de correo electrónico está gkeizer@ix.netcom.com.

Lea más acerca de la seguridad en el Centro de Seguridad de Computerworld tema.