jueves, 26 de febrero de 2009

Excel y Adobe Reader: debilidades de día cero.

A veces pienso que los fabricantes de software se sienten relegados y menos importantes si no tienen su debilidades día cero…sí, aquellas que no tienen parche.

 

Esta vez es el turno de Adobe Reader (CVE-2009-0658) y de Excel (CVE-2009-0238) y tiene debilidades que fueron anunciadas el 19 y 24 de febrero respectivamente. ¿Qué hacer? Para variar, no mucho.

 

Adobe dijo en su comunicado (http://tinyurl.com/aq6al3) que deshabilitando el JavaScript del Reader se podría proteger a los usuarios. Sin embargo hay evidencia de que esto no sirve de mucho (http://secunia.com/blog/44/).

 

Microsoft también ofreció un workaround (http://tinyurl.com/bjpb8z), el cual al menos nadie ha dicho que no sirve…sinceramente no lo he probado para ver si Excel deja de ser funcional.

 

Para ambos casos existe código de explotación y para Excel ya hasta hay un troyano (http://tinyurl.com/aqrwfe). Es importante mencionar que los ataques hasta ahora son limitados y aunque tienen el potencial de hacer daño, aún no hay código de propagación masiva y no creo que lo vaya a haber por la naturaleza de las debilidades  (como en el caso del bien conocido Conficker).

 

Habrá que estar atentos y actualizar nuestro antivirus para que nos pueda avisar de posible código malicioso relacionado a estas debilidades. Por cierto, Adobe promete un parche para el 11 de marzo (¿no podrían ser más rápidos?) y para Excel  no hay ni siquiera una promesa de publicación de parche.