Por que bajar y no abrir PDF ONLINE
Las versiones anteriores a la 8.1.2 de Adobe Reader contienen una vulnerabilidad del
tipo desbordamiento de búfer, la cuál está siendo utilizada actualmente para la
propagación de código malicioso.
El exploit, un script embebido en un archivo PDF actualmente detectado como
PDF/Exploit.Pidief.A por ESET NOD32, descarga otros malwares.
Hasta el momento, uno de los troyanos descargados pertenece a la familia de los
KillAV (también detectado como variante del Bagle), capaz de deshabilitar los
procesos de conocidos antivirus y modificar la configuración de las zonas de
seguridad de Internet, para habilitar la ejecución de otros programas no autorizados.
También es llamado Zonebac.A (o sus variantes) por otros vendedores.
Debemos tener en cuenta que luego que el exploit se ejecuta (o sea, si el
usuario abre un archivo PDF modificado para que ello ocurra), es posible descargar
cualquier otra clase de código malicioso, por lo que el hecho de que el KillAV (o
Zonebac), sea uno de los detectados hasta el momento, puede considerarse
meramente informativo.
El problema se produce por una insuficiente validación del código JavaScript en el
control de Adobe Reader que permite la apertura de archivos PDF directamente en
el navegador, lo que habilita la copia de ciertas cadenas a un búfer de insuficiente
tamaño. El exploit agrega código que sobrescribe áreas críticas del programa para
ejecutarse.
El ataque debe provocarse a través del enlace a un PDF en un sitio Web. Si no
se ejecuta el PDF dentro del navegador, la vulnerabilidad no podría ser explotada
. Un método para evitar esto, es descrito en nuestro artículo "Cómo hacer que
un archivo PDF no se abra en el navegador", http://www.vsantivirus.com/faq-
acrobat-pdf-navegador.htm
Los archivos PDF son ampliamente utilizados hoy en día en múltiples actividades, por
lo que el riesgo de infección es muy alto. Por ello recomendamos la actualización
urgente de Adobe Reader.
Aquellos usuarios que no puedan actualizarse a la versión 8.1.2 del programa,
pueden utilizar otras opciones para leer archivos PDF. En VSAntivirus
hemos probado la aplicación Foxit Reader 2.2, con muy buenos resultados
hasta el momento.
Foxit funciona en Windows 98, ME, 2000, XP, 2003 y Vista, y es
gratuito para uso personal. Puede ser configurado al idioma español desde la
lengüeta "Language", descargándose desde Internet un simple archivo XML.
Aconsejamos habilitar la opción para descargar los archivos PDF
cuando se hace clic en un enlace a ellos desde Internet, en lugar de que se abran
en el navegador. En Foxit, dicha opción se encuentra en "Editar", "Preferencias",
"Internet", donde debemos tildar la casilla "Show file download dialog".
Link
http://www.vsantivirus.com/12-02-08.htm