El experto en seguridad, Prakhar Prasad, ha identificado un par de vulnerabilidades en sitios web propiedad de Adobe. A pesar de que informó de ambas cuestiones en cuanto fueron descubiertas, la empresa no pudo coordinar adecuadamente el proceso de fijación.

El primer agujero de seguridad es una vulnerabilidad cross-site scripting (XSS) en el sitio partners.adobe.com.

El fallo se fijó en secreto por la empresa y si no se hubiese parcheado, podría haber sido aprovechado por un cibercriminal para robar las cookies o para ejecutar client-side exploits que le podría haber permitido tomar el control total del dispositivo de la víctima.

Se informó a Adobe’s Product Security Incident Response Team sobre dicho bug el pasado 20 de agosto del 2012, y aunque en un principio parecían estar dispuestos a colaborar con el investigador en abordar el tema, no pudieron hacerlo.

La segunda vulnerabilidad es un proceso de redirección abierto encontrado en feeds.adobe.com site.

Para demostrar sus conclusiones, el experto ha publicado un vídeo de prueba (arriba).

“Aunque este tipo de vulnerabilidad no se considera crítica, puede ” herir ” a un usuario desprevenido cuando se utiliza en un ataque de phishing, donde el usuario puede ser engañado y pensar que el enlace pertenece a Adobe Inc”, dijo.

El investigador de seguridad Janne Ahlberg – quien ha centrado muchos de sus esfuerzos en convencer a las organizaciones a instaurar proper vulnerability disclosure channels (canales de divulgación de vulnerabilidades adecuados) – reclama estar en una situación similar con Adobe. Un error que reportó hace más de dos meses y aún se mantiene sin parchear.

VÍA: SOFTPEDIA