Adobe refuerza la seguridad en Reader, Acrobat XI con funciones adicionales

El recientemente lanzado Adobe Reader y Adobe Acrobat XI vienen con nuevas características de seguridad y un entorno mejorado que hará que los productos sean más difíciles de atacar y explotar, según Adobe.

La función de espacio aislado conocida como Modo protegido que se introdujo por primera vez en Adobe Reader X tuvo éxito en la mitigación de exploits PDF tradicionales. La tecnología funciona aislando ciertas operaciones de Adobe Reader en un entorno estrictamente controlado y hace que sea muy difícil para los atacantes escribir y ejecutar código malicioso en un sistema después de explotar una vulnerabilidad en el producto.

"Desde que agregamos protección de espacio aislado a Adobe Reader y Acrobat, no hemos visto ningún exploit en la naturaleza que salga de Adobe Reader y Acrobat X sandbox ", dijo Priyank Choudhury, un investigador de seguridad dentro del equipo de ingeniería de software seguro de Adobe, en una publicación de blog.

[Más lectura: cómo eliminar el malware de su PC con Windows]

Sin embargo, esto no significa que el entorno limitado Adobe Reader X pueda evitar todo tipo de ataques. Por ejemplo, el sandbox fue diseñado principalmente para restringir operaciones de escritura, no de lectura, lo que significa que los atacantes potenciales pueden robar información sensible de un sistema después de explotar una vulnerabilidad de Adobe Reader X.

Eso ya no es un problema en Adobe Reader XI, Choudhury dijo. "En Adobe Reader XI, hemos agregado capacidades de prevención de robo de datos ampliando el sandbox para restringir las actividades de solo lectura para ayudar a proteger contra los atacantes que buscan leer información confidencial en la computadora del usuario."

"He advertido antes que Adobe La caja de arena del Reader X es un sandbox de escritura, por ejemplo esa lectura todavía está completamente permitida y, por lo tanto, aún permite el robo de información ", dijo el jueves por correo electrónico Didier Stevens, un investigador de seguridad muy conocido por su trabajo de seguridad PDF. "Probé eso".

Stevens supone que el nuevo modelo de espacio aislado en Adobe Reader XI prohíbe la lectura de archivos y claves de registro, pero aún no ha tenido la oportunidad de probarlo. Si ese es el caso, sería una mejora importante, dijo.

La nueva versión de Adobe Reader también viene con un modo de Vista protegida que fortalece aún más la zona de pruebas creando una estación de ventana separada, un portapapeles y un escritorio asegurables por separado. para el proceso de visualización de PDF. Esta función está diseñada para bloquear los llamados ataques de filtro de pantalla en los que una aplicación lee datos de la salida de visualización de un programa diferente que se ejecuta en el mismo escritorio.

Adobe Acrobat ya tenía un modo de Vista protegida que se ha mejorado en el nueva versión. "La Vista protegida se comporta de manera idéntica para Adobe Reader y Acrobat, ya sea que visualice archivos PDF en el producto independiente o en el navegador", dijo Choudhury.

El soporte para la asignación de espacio de direcciones aleatorias (ASLR), una tecnología anti-explotación basada en la memoria, también se ha mejorado en las nuevas versiones de Adobe Reader y Acrobat.

ASLR puede ser difícil de implementar en un programa, porque todos sus archivos ejecutables y bibliotecas de vínculos dinámicos (DLL) deben ser compatibles para que la protección sea completa. efectivo.

"En Adobe Reader y Acrobat XI, hemos habilitado el soporte para Force ASLR en Windows 7 y Windows 8", dijo Choudhury. "Forzar ASLR mejora la efectividad de las implementaciones de ASLR existentes asegurando que todas las DLL cargadas por Adobe Reader o Acrobat XI, incluidas las DLL heredadas sin ASLR habilitado, sean aleatorizadas."

Además, Adobe Reader y Acrobat XI se benefician de un nuevo PDF Incluye una lista blanca de Framework que permitirá a los administradores del sistema, especialmente en entornos empresariales, habilitar funciones específicas como JavaScript solo para archivos PDF seleccionados, sitios o hosts.

Muchos investigadores de seguridad recomiendan deshabilitar el soporte de JavaScript en Adobe Reader y Acrobat porque la mayoría de los exploits PDF requieren JavaScript para funcionar. Sin embargo, esta funcionalidad también puede tener fines legítimos, por lo que inhabilitarla para todos en un entorno empresarial puede ser poco práctico.

El nuevo Adobe Reader y Acrobat XI también admiten firmas digitales de contenido que usan Criptografía de curva elíptica (ECC). "Los usuarios ahora pueden incrustar información de validación a largo plazo automáticamente cuando usan firmas de certificados y usan firmas de certificados que soportan credenciales basadas en la criptografía de curvas elípticas (ECC)", dijo Choudhury.