Adobe Reader Mobile, la aplicación de Adobe para lectura de documentos
pdf en dispositivos Android también se ve afectada por una grave
vulnerabilidad.
Adobe ha publicado el boletín APSB14-12 (http://helpx.adobe.com/security/products/reader-mobile/apsb14-12.html) que corrige una grave vulnerabilidad que
permitiría la ejecución de código remoto debido a un fallo en la implementación
de las APIs JavaScript. Según Google Play la aplicación está instalada en más
de 100 millones de dispositivos.
Recursos afectados
- Adobe Reader Mobile (versiones 11.1.3 y anteriores) para sistemas Android
- La vulnerabilidad con CVE-2014-0514) reside en que Adobe Reader para Android expone múltiples interfaces Javascript inseguras. Las siguientes clases exponen una o más interfaces Javascript: ARJavaScript, ARCloudPrintActivity y ARCreatePDFWebView. Esto podría permitir que al abrir un pdf malicioso un atacante remoto podrá lograr la ejecución de código Java arbitrario.
- El fallo reportado por la firma Securify de los Países Bajos, que ofrece mayor información del problema (http://www.securify.nl/advisory/SFY20140401/adobe_reader_for_android_exposes_insecure_javascript_interfaces.html) .
- Adobe ha publicado la versión 11.2 de Adobe Reader Mobile disponible en Google Play, o desde este enlace. https://play.google.com/store/apps/details?id=com.adobe.reader
- Security update available for Adobe Reader Mobile http://helpx.adobe.com/security/products/reader-mobile/apsb14-12.html
- Adobe Reader for Android exposes insecure Javascript interface http://www.securify.nl/advisory/SFY20140401/adobe_reader_for_android_exposes_insecure_javascript_interfaces.html