Adobe lança pacote para vulnerabilidade dia zero

A Adobe lançou atualizações não programadas para consertar vulnerabilidades nos softwares Reader e Acrobat.

“A vulnerabilidade é crítica e pode ser usada para tomar o controle de computadores, devendo ser tratada o mais rápido possível”, informou Wolfgang Kandek, CRO da Qualys, em um post de blog.

De acordo com o time da US Computer Emergency Readiness (US-CERT), a vulnerabilidade tem origem em “Cooltype.dll” no Reader e Acrobat, que poderia permitir de forma remota “a execução de código arbitrário por meio da fonte TrueType”.

Estão vulneráveis a versão 9 do Acrobat – incluindo a atualização para 9.3.3 – para Windows e Macintosh, o Adobe Reader 9 – bem como a atualização 9.3.3 – para Windows, Macintosh e Unix, e o Reader 8 – incluindo 8.2.3 – para Windows e Macintosh.

A vulnerabilidade foi divulgada pela primeira vez no mês passado pelo pesquisador em segurança Charlie Miller, durante a conferência Black Hat USA 2010.

A Adobe credita a descoberta, entretanto, a Tavis Ormandy. “Parece que Tavis reportou a falha à Adobe antes da apresentação de Miller na Black Hat. Este é um exemplo que ilustra um fato para o qual os pesquisadores têm chamado a atenção há um bom tempo: é possível e tem ocorrido de vulnerabilidades terem sido descobertas independentemente, por pesquisadores ou criadores de malwares”, escreveu Kandek.

A atualização de segurança atende também à nova versão do Flash, lançada no início deste mês. O próximo pacote programado pela Adobe será em 12 de outubro deste ano.