Ya no podemos confiar ni siquiera en los propios creadores de programas que a diario permiten que salgan de sus laboratorios software con códigos maliciosos y con múltiples problemas.
Desde la página oficial de Adobe "Get Reader" los usuarios pueden descargar la última versión 9.1 del lector de PDF. El problema es que esta versión tiene 14 fallos de seguridad. Están solucionados, y existe versión que los corrige, pero Adobe confía (sin advertirlo explícitamente) en que sean los propios usuarios los que, tras la descarga, actualicen manualmente el lector.
Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así.
Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable.
Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente. Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema.
Recommended Gadget
GEEKWORLD Copyright © 2009 Gadget Blog is Designed by Ipietoon Sponsored by Online Business Journal