Nuevo 0-day en Acrobat Reader - Trojan.Pidief.E

Desde el pasado día 12 de Febrero se comenta en algunos sitios que es posible que exista una vulnerabilidad no conocida (específicamente un buffer overflow) de Acrobat Reader que se está explotando activamente. Las versiones afectadas parece ser que son la 8.3.1 y la 9.0.0.

En otras vulnerabilidades parecidas, al desactivar el soporte de javascript nos protegía contra la misma, pero según lo que se ha comentado, en este caso no parece ser 100% eficaz. De todas formas recomendamos desactivar el soporte de javascript hasta que se conozcan más detalles sobre la misma.

La única información pública de la explotación es que en las primeras versiones, el troyano que se instala intenta conectarse a la máquina js001.3322.org (recordemos que 3322.org es un proveedor gratuito de DNS de China muy popular, aunque también muy conocido por alojar multitud de códigos maliciosos), con lo que también es aconsable el bloqueo de cualquier comunicación a ese dominio o a la dirección a la que resuelve (actualmente 222.35.136.119, también de China).

David Barroso
S21sec e-crime