Adobe rilascia Acrobat Reader 7.0.9 e risolve tutte le vulnerabilità

Disponibile la nuova versione di Adobe Acrobat Reader, immune ai vari problemi di sicurezza evidenziati nei giorni scorsi.

Arriva oggi la nuova versione di Adobe Acrobat Reader, immune ai vari
problemi di sicurezza messi a nudo nei giorni scorsi.

Sebbene l'ottava
versione del software per la lettura dei file in formato Pdf fosse sicura, sino
ad oggi tutti gli utenti delle versioni precedente la 7.0.9, appena rilasciata,
erano esposti a rischi.

Acrobat Reader 7.0.9, disponibile anche in
italiano, integra le patch correttive per diverse vulnerabilità tra le quali vi
sono quelle scoperte dagli italiani Stefano Di Paola, Giorgio Fedon ed Elia
Florio.

I tre esperti di sicurezza avevano illustrato come tutti gli
utenti di Acrobat Reader (fatta eccezione per coloro che avevano scelto di
installare la versione 8.0) fossero esposti ad attacchi "cross site scripting".
Il componente interessato dalla vulnerabilità è l'Adobe Acrobat Reader Plugin
nelle versioni 7.0.8 e precedenti. I problemi di sicurezza possono avere un
impatto differente a seconda della versione del browser che l'utente utilizza
(ad esempio, Firefox od Internet Explorer).

Le vulnerabilità scoperte
nel plugin di Acrobat Reader potrebbero aprire la strada ad attacchi di tipo
"Universal cross site scripting" (UXSS). Con la dizione "cross site scripting"
(XSS) si definisce infatti una tipologia di attacco che generalmente viene
portata a termine sfruttando una vulnerabilità di una "web application".
L'aggressore inserisce del codice arbitrario come input di una web application
in modo da modificarne il comportamento. A questo punto l'aggressore può
preparare un URL "ad hoc" ed inviarlo ad un ignaro utente.

Quest'ultimo
si sentirà sicuro poiché gli sembrerà di utilizzare i servizi messi a
disposizione dal sito web vulnerabile. In questo caso, invece, si ha a che fare
con problematiche residenti nei componenti lato client (coppia browser, plugin
Acrobat Reader) e non legate ad un sito web.

Un aggressore remoto
potrebbe quindi sfruttare l'ampia diffusione del plug-in di Adobe per condurre
attacchi UXSS con la possibilità di eseguire codice javascript sulla macchina
vittima e sfruttare le enormi potenzialità della tecnologia AJAX per far danni.
Acrobat Reader 7.0.9 risolve però anche un'altra importante vulnerabilità,
segnalata ad Adobe già nel mese di Settembre 2006. Un aggressore remoto potrebbe
essere in grado di eseguire codice maligno sul sistema vulnerabile
"confezionando" un file PDF maligno, preparato "ad arte" per sfruttare la falla
di sicurezza.

Anche questa lacuna è da considerarsi ovviamente
estremamente critica vista l'elevatissima diffusione dei file in formato PDF e
la fiducia che generalmente l'utente tende ad accordare in questo tipo di file.
Chi preferisse non aggiornarsi alla versione 8.0 di Acrobat Reader che, tra
l'altro, non è al momento ancora disponibile in lingua italiana, può quindi
installare subito Acrobat Reader 7.0.9 per evitare di correre qualunque
rischio.

Il prodotto, in italiano, può essere prelevato facendo
riferimento a questa pagina o al sito ufficiale.

Dato che tutte le
vulnerabilità di sicurezza conosciute sono state risolte, Secunia classifica ora
l'uso di Acrobat Reader 7.0.9 come pienamente sicuro.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here