Un agente anónimo y externo a CERT (Computer Emergency Response Team) ha hecho pública en una lista de seguridad una vulnerabilidad relacionada con el formato PDF diez días antes de que la organización tuviese pensado publicarla de forma oficial. Esto implica que el vendedor relacionado no ha tenido tiempo de estudiar el problema y poner a disposición del público un parche adecuado.

El CERT es una organización especializada en la lucha contra los ataques y virus en Internet, mediante la publicación de boletines oficiales que anuncian vulnerabilidades o problemas relacionados con la seguridad informática junto con las soluciones o precauciones necesarias para solventarlos y hacerles frente. En los casos en los que les sea reportada una vulnerabilidad, se ponen en contacto con los vendedores para que programen una solución adecuada antes de que ellos mismos hagan público el fallo o problema. En el caso de la vulnerabilidad en PDF, no esperaban publicarla hasta el día 23 de Junio, según hack4life, como se hace llamar el "posteador". Este último lo difundió el viernes día 14 en una conocida lista de seguridad.

CERT supone que se trata de una persona con acceso a la información privilegiada que se le comunica a los vendedores y que les está jugando una mala pasada. Jeffrey Carpenter, coordinador de CERT, aún desconoce de qué vendedor en concreto puede venir la filtración.

La vulnerabilidad en concreto afecta a los usuarios de Acrobat Reader de Adobe Systems y algunos otros programas con la misma función que el famoso lector del formato PDF. La vulnerabilidad permite ejecutar código arbitrario en la mayoría de los sistemas basados en UNIX, mediante la inyección de enlaces especiales en los propios documentos PDF.

En el mensaje escrito por hack4life, se incluyen algunas pistas sobre su actividad, indicando que seguirá manteniendo a todos informados de lo que los "tontos" del CERT van a publicar. Su intención es dar tiempo a hackers maliciosos de explotar los problemas antes de que exista solución efectiva y sea conocida por la mayoría de los afectados.

No es la primera vez que el organismo se ve afectado por este problema, de hecho este podría ser el quinto anuncio que se adelanta a las fechas programadas. En Marzo de 2003 el mismo hack4life hizo de las suyas, indicando una vez más que "los errores no se publican para ser resueltos por los administradores, sino para que los hackers hagan uso de ellos y los exploten".

Más información y referencias:

Researcher Leaks CERT Bulletin
http://www.eweek.com/article2/0,3959,1128431,00.asp

More CERT Documents Leaked
http://www.eweek.com/article2/0,3959,962679,00.asp

Yet Another CERT Bulletin Leaked Again -- Are they hacked?
http://www.hacktivismo.com/news/modules.php?name=News&file=article&sid=1448

Fourth CERT document is leaked online
http://www.nwfusion.com/news/2003/0324fourthcert.html

Sergio de los Santos
http://www.forzis.com