El PDF es, hoy por hoy, el formato por excelencia a la hora de compartir e imprimir documentos. Y, pese a contar con una gran cantidad de alternativas muy válidas, el rey del PDF sigue siendo la compañía que lo creó: Adobe. Es por ello que sus herramientas para crear PDFs (Adobe Acrobat) y para visualizarlos (Adobe Reader) están tan presentes en PCs y Macs hoy en día.
Sin embargo, eso también significa que cuando una vulnerabilidad afecta a alguno de estos programas (o peor, a ambos), hay muchos usuarios que tienen un problema serio al que hacer frente.
Y ese es, precisamente, el caso: se ha detectado una vulnerabilidad 'de día cero' en ambos programas, identificada como CVE-2023-26369, lo que ha llevado a la compañía a lanzar una actualización crítica que solventa este problema de seguridad.
De hecho, la vulnerabilidad afecta tanto a las versiones de Windows como a las de macOS de Acrobat DC, Acrobat Reader DC, Acrobat 2020 y Acrobat Reader 2020. Concretamente, las versiones afectadas son éstas:
- 23.003.20284 y anteriores de Adobe Acrobat DC
- 23.023.20284 y anteriores de Adobe Reader DC
- 20.005.30516 y anteriores de Acrobat 2020 para Mac
- 20.005.30514 y anteriores de Acrobat 2020 para Windows
- 20.005.30516 y anteriores de Acrobat Reader 2020 para Mac
- 20.005.30514 y anteriores de Acrobat Reader Acrobat para Windows
Esta vulnerabilidad ha sido clasificada con una puntuación de 7,8 (sobre 10) en el sistema de puntuación CVSS, lo que la califica como "crítica". Pero lo que la hace aún más preocupante es que a los expertos ya les consta que los ciberdelincuentes están explotando activamente esta vulnerabilidad.
Así funciona
La brecha de seguridad entra en la categoría de las conocidas como "escritura fuera de límites" (out-of-bounds write), permitiendo la ejecución de código malicioso cuando se abre un documento PDF especialmente diseñado para ello. Adobe, por razones obvias, no ha proporcionado detalles adicionales sobre la naturaleza precisa de esta vulnerabilidad ni sobre los objetivos de los ataques.
Sin embargo, y pese a lo crítico del asunto, hay un dato positivo en todo esto: la vulnerabilidad sólo se puede explotar localmente: el atacante debe tener acceso físico al dispositivo objetiv… o la víctima debe interactuar con el documento malicioso para que se ejecute el código.
Estas restricciones disminuyen el riesgo en comparación con vulnerabilidades que pueden explotarse de forma remota sin interacción del usuario. Aunque ya sabemos que existen docenas de ciberestafas basadas precisamente en convencer al usuario de que ejecute documentos maliciosos.
