Adobe acaba de publicar una serie de notificaciones de seguridad sobre nuevos parches. Por nuevo queremos decir que han salido después del martes de parches de la semana pasada.
En otras palabras, si tienes la costumbre de parchear solo una vez al mes, esta es una de esas ocasiones en las que necesitas cambiar ese hábito.
En el lenguaje común, las actualizaciones inesperadas, de productos que normalmente se publican con una frecuencia regular, se conocen como parches “fuera de banda”, y eso es lo que tenemos aquí.
(Ese no es un uso muy preciso del término “fuera de banda”. El término generalmente se refiere a un dato especial o señal de control que se entrega a través de un canal completamente separado al flujo de datos principal para que no se puedan confundir accidentalmente, pero en el mundo del etiquetado de parches simplemente significa fuera del calendario establecido).
Los productos afectados son: Character Animator (CVE-2020-9586), Premiere Pro (CVE-2020-9616), Audition (CVE-2020-9618) y Premiere Rush (CVE-2020-9617).
Los boletines están numerados APSB20-25 y luego -27, -28 y -29, saltándose el -26.
El boletín APSB20-26 en realidad salió la semana pasada, el martes de parches, saltándose el -25, lo que sugiere que al menos el parche del boletín APSB20-25 se preparó a tiempo para el martes de parches pero quizás no pasó el corte final, tal vez para darle tiempo a pruebas o ajustes adicionales.
Adobe no está revelando mucho sobre estas vulnerabilidades, excepto que existen, ni dice si existen o son probables exploits que las ataquen dichas vulnerabilidades.
Afortunadamente, solo el error en Character Animator es del tipo “ciberdelincuentes podrían infectar con malware tu ordenador”.
Adobe ha lanzado una actualización para Adobe Character Animator para Windows y macOS. Esta actualización resuelve una vulnerabilidad de desbordamiento de búfer basada en la pila que podría conducir a la ejecución remota de código.
Desbordamiento del búfer
Los desbordamientos del búfer ocurren cuando un programador no deja suficiente espacio en la memoria para los datos que podrían llegar más tarde y, por lo tanto, crea la posibilidad de que una porción de datos con formato incorrecto sobrescriba otros datos que se utilizan en otras partes del programa.
A menudo, los desbordamientos del búfer que ocurren por error terminan confundiendo a la aplicación que tiene sus datos mezclados y provocan un bloqueo.
Eso es bastante malo porque normalmente se pierde el trabajo no guardado o se termina con datos desordenados después de un bloqueo, y un desbordamiento de búfer del que se puede abusar para provocar bloqueos a voluntad es el tipo de error de seguridad que se llama adecuadamente de Denegación de Servicio, o DoS para acortar.
Pero poniendo una cuidadosa atención a los detalles, los atacantes a veces pueden explotar los desbordamientos del búfer no solo para bloquear el programa atacado sino también para hacer que falle de una manera que les permita tomar el control durante el bloqueo.
Los datos que se introducen a través del desbordamiento del búfer a veces se pueden diseñar maliciosamente para desviar el flujo de ejecución en el software de bloqueo de una manera predecible y peligrosa.
Si eso es posible, los atacantes a menudo pueden engañar al software vulnerable para que realice varias acciones deshonestas en lugar de que el sistema operativo detecte su comportamiento erróneo y lo cierre.
Si los datos se pueden introducir desde el exterior, por ejemplo, incrustados en un archivo que se ha descargado de Internet, entonces los delincuentes no solo pueden tomar el control del ordenador sino también desde fuera de su red.
En otras palabras, pueden usar la vulnerabilidad para introducirse en un ordenador de forma remota y ejecutar algún comando de su elección, y ese comando generalmente termina implantando malware en el ordenador sin ningún mensaje de advertencia o ventanas emergentes de “está seguro”.
Ese es el tipo de vulnerabilidad más grave, conocida como RCE, abreviatura de ejecución remota de código, las mismas palabras que se pueden leer en la breve notificación de Adobe.
Divulgación de información
Los errores en las otras aplicaciones se describen con las palabras “[estas actualizaciones resuelven] una vulnerabilidad de lectura fuera de los límites que podría conducir a divulgación de información“.
Una lectura fuera de los límites es un poco como coger un informe que te pidieron del escritorio de tu jefe (cuando solíamos visitar los escritorios de los demás en el trabajo) y notar que hay algo debajo que no se suponía que debías ver pero que no puedes evitar mirarlo.
Curiosamente, actualmente los desbordamientos de búfer a menudo son difíciles de explotar porque la mayoría de los sistemas operativos intentan cargar programas y sus datos en direcciones de memoria que varían aleatoriamente, lo que se conoce como ASLR o asignación aleatoria del diseño del espacio de direcciones.
Esto dificulta que los atacantes bloqueen los programas con errores de una manera explotable, porque no pueden predecir dónde fallará y, por lo tanto, no pueden controlar de manera confiable el flujo de ejecución del programa en el código de bloqueo: un ataque que funciona en el ordenador del atacante puede ser caótico en el resto.
Esto hace que los errores de divulgación de información sean mucho más valiosos de lo que se podría pensar: los delincuentes a menudo los usan no para robar datos personales como contraseñas, sino para aprender cómo se almacena la memoria en el ordenador de destino.
Por lo tanto, los ataques modernos a menudo usan un error de divulgación de información primero para hacer que ASLR sea inútil: una vez que los delincuentes descubren el diseño de la memoria, ya no es aleatorio o impredecible, y de ese modo consiguen que los exploits RCE que lo acompañan funcionen de manera confiable.
¿Qué hacer?
Asegúrate de estar al día. Los usuarios de Adobe Creative Suite pueden ver qué software han instalado y si se ha actualizado haciendo clic en el icono de Creative Cloud en la barra de menú (macOS) o en la barra de herramientas (Windows).
Si el icono de Creative Cloud no está allí, ve a Aplicaciones o Archivos de programa e inicia la aplicación Creative Cloud en la carpeta Adobe Creative Cloud, que activará el icono en la barra correspondiente.