Se ha reportado una vulnerabilidad en
Nitro PDF Pro, una herramienta empleada para el tratamiento de archivos PDF. La
vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante
remoto ejecutar código malicioso.
Como ya hemos comentado anteriormente,
Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con
soporte para dispositivos OCR y una cantidad enorme de opciones de
configuración y de seguridad. Permite editar cualquier tipo de documento,
incluidas imágenes, párrafos y páginas.
El problema reportado sería causado
por diferentes vulnerabilidades, una de ellas, la función ‘Doc.saveAs’ podría
ser usada para sobreescribir ficheros dentro del sistema, y la otra podría ser
usada para saltar restricciones de seguridad en 'App.launchURL' al introducir
determinados caracteres dentro de la ruta de direcciones.
El problema, con CVE-2017-7442, podría
permitir a un atacante remoto valerse de las vulnerabilidades explicadas
anteriormente para ejecutar código arbitrario dentro del sistema a través de
ficheros especialmente manipulados, visitar páginas web maliciosas y
dependiendo de la vulnerabilidad, introduciendo caracteres especiales.
Este problema afecta a Nitro PDF
Reader & Nitro Reader Pro.
Recomendación
- Se recomienda actualizar a versiones superiores. https://www.gonitro.com/product/downloads#securityUpdates
Más información:
- Nitro PDF http://gonitro.com/
Prueba de concepto:
Fuente: Hispasec