VivaLinux!

Se ha descubierto una vulnerabilidad en Adobe Acrobat Reader para Unix y Linux que permitiría la ejecución de código arbitrario en la máquina de la víctima. Se confirmó que las versiones 5.05 y 5.06 de este programa son vulnerables, aunque no se descarta que versiones anteriores puedan verse afectadas. Las versiones para la plataforma Windows no presentan este problema.

Las versiones para Unix y Linux de Adobe Acrobat Reader 5 intentan convertir de forma automática documentos codificados ‘uuencoded’ a su formato original. El problema se da porque dicho programa no comprueba de forma correcta el metacaracter de shell (comilla invertida, `) en el nombre de archivo antes de ejecutar un comando con una shell. Esto permitiría a un archivo con un nombre construido a tal efecto ejecutar programas arbitrarios con los permisos del usuario que esté utilizando la versión vulnerable de este visor de documentos.

• Artículo completo en Seguridad0.