Un investigador miembro de Project Zero de Google publicó una lista extensiva de 15 vulnerabilidades en Adobe Reader y Windows. Mateusz Jurczyk encontró que podían permitir la ejecución remota de código o la escalación de privilegios en Adobe Reader o el kernel de Windows.

Sin embargo, las dos más graves (detalladas como CVE-2015-3052 para 32-bits y CVE-2015-0093 para 64-bits) existen en el módulo Adobe Type Manager Font Driver, el cual soporta las fuentes de Tipo 1 y Tipo 2 en el kernel de Windows desde su versión NT 4. Jurczykle dijo a The Register que la más seria está relacionada con el manejo de CharStrings, que son responsables de dar forma a cada glifo en un tamaño de punto particular.

"Lo primitivo y extremadamente poderoso que provee la vulnerabilidad -junto al hecho de que afectaba a todas las versiones con soporte de Adobe Reader y Microsoft Windows, lo que hacía imposible crear una cadena de exploit para comprometer el sistema por completo con solo un bug- la hace uno de los problemas de seguridad más interesantes que he descubierto hasta el momento", dijo Jurczyk.

Un video demuestra la explotación de la vulnerabilidad en el manejo de la instrucción BLEND en fuentes Tipo 1, usada en dos estadíos, primero para lograr la ejecución arbitraria de código en Adobe Reader 11.0.10, y luego evadir el sandbox y escalar privilegios en el sistema atacando el Adobe Type Manager Font Driver en el kernel de Windows 8.1 Update 1 32-bits (o 64-bits), según explicó.

El post del investigador también comparte su presentación en la conferencia de seguridad Recon este mes, llamada "One font vulnerability to rule them all: A story of cross-software ownage, shared codebases and advanced exploitation".

Microsoft y Adobe publicaron los respectivos parches:

Como reportamos hace poco tempo, Google lanzó Project Zero para buscar vulnerabilidades críticas en los sistemas y alertar sobre ellas antes de que sean explotadas con fines maliciosos. El período de publicación de las vulnerabilidades fue extendido dos semanas más, en casos en que el fabricante esté planeando lanzar un parche en las dos semanas siguientes a la fecha límite. El período "de gracia" adicional "mejorará los tiempos de respuesta de la industria a bugs, pero resultará en un impacto más suave de los bugs cerca de la fecha límite", afirmó Google.