[HACK] Se adelantan a la publicación de vulnerabilidades de CERT

[Sergio de los Santos]

17/06/03

Se adelantan a la publicación de vulnerabilidades de CERT

Sergio de los Santos
WWW.FORZIS.COM

Un agente anónimo y externo a CERT (Computer Emergency Response Team) ha 
hecho pública en una lista de seguridad una vulnerabilidad relacionada con 
el formato PDF diez días antes de que la organización tuviese pensado 
publicarla de forma oficial. Esto implica que el vendedor relacionado no ha 
tenido tiempo de estudiar el problema y poner a disposición del público un 
parche adecuado.

El CERT es una organización especializada en la lucha contra los ataques y 
virus en Internet, mediante la publicación de boletines oficiales que 
anuncian vulnerabilidades o problemas relacionados con la seguridad 
informática junto con las soluciones o precauciones necesarias para 
solventarlos y hacerles frente. En los casos en los que les sea reportada 
una vulnerabilidad, se ponen en contacto con los vendedores para que 
programen una solución adecuada antes de que ellos mismos hagan público el 
fallo o problema. En el caso de la vulnerabilidad en PDF, no esperaban 
publicarla hasta el día 23 de Junio, según hack4life, como se hace llamar 
el "posteador". Este último  lo difundió el viernes día 14 en una conocida 
lista de seguridad.

CERT supone que se trata de una persona con acceso a la información 
privilegiada que se le comunica a los vendedores y que les está jugando una 
mala pasada. Jeffrey Carpenter, coordinador de CERT, aún desconoce de qué 
vendedor en concreto puede venir la filtración.

La vulnerabilidad en concreto afecta a los usuarios de Acrobat Reader de 
Adobe Systems y algunos otros programas con la misma función que el famoso 
lector del formato PDF. La vulnerabilidad permite ejecutar código 
arbitrario en la mayoría de los sistemas basados en UNIX, mediante la 
inyección de enlaces especiales en los propios documentos PDF.

En el mensaje escrito por hack4life, se incluyen algunas pistas sobre su 
actividad, indicando que seguirá manteniendo a todos informados de lo que 
los "tontos" del  CERT van a publicar. Su intención es dar tiempo a hackers 
maliciosos de explotar los problemas antes de que exista solución efectiva 
y sea conocida por la mayoría de los afectados.

No es la primera vez que el organismo se ve afectado por este problema, de 
hecho este podría ser el quinto anuncio que se adelanta a las fechas 
programadas. En Marzo de 2003 el mismo hack4life hizo de las suyas, 
indicando una vez más que "los errores no se publican para ser resueltos 
por los administradores, sino para que los hackers hagan uso de ellos y los 
exploten".

Más información y referencias:

Researcher Leaks CERT Bulletin
http://www.eweek.com/article2/0,3959,1128431,00.asp

More CERT Documents Leaked
http://www.eweek.com/article2/0,3959,962679,00.asp

Yet Another CERT Bulletin Leaked Again -- Are they hacked?
http://www.hacktivismo.com/news/modules.php?name=News&file=article&sid=1448

Fourth CERT document is leaked online
http://www.nwfusion.com/news/2003/0324fourthcert.html