Para os 400 milhões de usuários que instalaram o aplicativo Adobe Reader para visualizar arquivos PDF em dispositivos móveis, chegou a hora de atualizá-lo.
A Adobe lançou a versão 11.2.0 do Adobe Reader para corrigir uma vulnerabilidade importante que poderia ser explorada para executar códigos remotamente nos aparelhos afetados.
Segundo o alerta da Adobe, a vulnerabilidade (CVE-2014-0514) se refere a execução de um JavaScript na interface de programação do Adobe Reader 11.2. Essa vulnerabilidade, se atacada, pode ser usada para a execução de códigos arbitrários, que são códigos longos demais para serem interpretados por aplicativos como o mencionado, o que resulta em um transbordamento de dados, permitindo que o dispositivo seja atacado, já que um pedaço desse código pode ser executado remotamente pelo atacante.
A vulnerabilidade em questão foi descoberta pelo investigador de segurança Yorick Koster, da empresa Security BV, que explicou que um atacante pode preparar um arquivo PDF com códigos maliciosos JavaScript injetados no mesmo. Uma vez que a vítima abra o arquivo infectado utilizando o Adobe Reader para Android, esse malware seria executado.
Esse não é o primeiro caso em que usuários do Adobe Reader correm riscos, já que há algum tempo cibercriminosos utilizam PDF infectados para atacar diversas plataformas diferentes. De fato, versões desatualizadas desse aplicativo já tinham sido utilizadas para o download de vários tipos de malware.
Uma vez que o dispositivo móvel é afetado pela falha em questão, o atacante pode acessar o cartão SD do aparelho e roubar informações sensíveis contidas no mesmo. Os investigadores responsáveis pela descoberta da falha prepararam um arquivo PDF como prova de conceito, que demonstra o seu funcionamento.
A ESET Brasil sugere que os usuários que utilizam o Adobe Reader para Android o atualizem o mais breve possível.
Autor Ilya Lopes, ESET
