Un baco pericoloso nel plug-in di Acrobat Reader

Una vulnerabilità segnalata in ottobre, per la quale non è stata ancora rilasciata una patch.

Secondo quanto dichiarato dagli italiani Stefano Di Paola, Giorgio Fedon
ed Elia Florio, esperti di sicurezza informatica, la scoperta della
vulnerabilità di sicurezza sarebbe stata da loro notificata ad Adobe già a metà
Ottobre scorso, tuttavia il quartier generale della società californiana non
sembra essersi mosso per rilasciare patch a risoluzione del problema.

I
due ingegneri software hanno quindi pubblicato in Rete alcuni dettagli sui
problemi individuati.

Il componente interessato dalla vulnerabilità è
l’Adobe Acrobat Reader Plugin nelle versioni 7.0 e precedenti.

I
problemi di sicurezza possono avere un impatto differente a seconda della
versione del browser che l’utente utilizza (ad esempio, Firefox od Internet
Explorer).

Le vulnerabilità scoperte nel plugin di Acrobat Reader
potrebbero aprire la strada ad attacchi di tipo “Universal cross site scripting”
(UXSS). Con la dizione “cross site scripting” (XSS) si definisce infatti una
tipologia di attacco che generalmente viene portata a termine sfruttando una
vulnerabilità di una “web application”.
L’aggressore inserisce del codice
arbitrario come input di una web application in modo da modificarne il
comportamento. A questo punto l’aggressore può preparare un URL “ad hoc” ed
inviarlo ad un ignaro utente.

Quest’ultimo si sentirà sicuro poiché gli
sembrerà di utilizzare i servizi messi a disposizione dal sito web vulnerabile.
In questo caso, invece, si ha a che fare con problematiche residenti nei
componenti lato client (coppia browser, plugin Acrobat Reader) e non legate ad
un sito web.

Un aggressore remoto potrebbe quindi sfruttare l’ampia
diffusione del plug-in di Adobe per condurre attacchi UXSS con la possibilità di
eseguire codice javascript sulla macchina vittima e sfruttare le enormi
potenzialità della tecnologia AJAX per far danni. Il suggerimento, da applicare
nell’immediato, consiste nell’installare Acrobat Reader 8.0, versione esente dal
problema che però non è ancora disponibile in italiano. Si attende, a questo
punto, la pubblicazione di un bollettino ufficiale da parte di Adobe.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome