Se
han reportado tres vulnerabilidades en Nitro Pro 10, consideradas de gravedad
alta, que podrían permitir a un atacante remoto ejecutar código arbitrario
dentro del sistema y provocar condiciones de denegación de servicio.
Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.
Detalle de vulnerabilidades
- Las dos primeras vulnerabilidades (CVE-2016-8709 y CVE-2016-8713) se deben a un error en la librería 'npdf.dll' que podría causar una escritura en memoria fuera de límites o corrupción de memoria. Un atacante remoto podría valerse de archivos PDF especialmente manipulados para provocar una denegación de servicio dentro del sistema.
- En la vulnerabilidad con CVE-2016-8711 un atacante remoto podría también aprovechar un error en la misma librería para ejecutar código arbitrario a través también de archivos PDF especialmente manipulados. Las vulnerabilidades han sido reportadas por Piotr Bania de Cisco Talos.
- Afectan a la versión Nitro Pro 10.5.9.9 y posiblemente versiones anteriores. Se recomienda actualizar a versiones superiores.
Nitro
Pro PDF Handling Code Execution Vulnerability
- http://www.talosintelligence.com/reports/TALOS-2016-0218
- http://www.talosintelligence.com/reports/TALOS-2016-0224
- http://www.talosintelligence.com/reports/TALOS-2016-0226
Nitro
Pro http://gonitro.com
Fuente:
Hispasec
