Adobe Reader e Acrobat in attesa di patch

La falla è venuta a galla nelle più recenti versioni di Adobe Reader e Acrobat. Sono già in circolazione dei file PDF maligni capaci di sfruttare il bug. Adobe è al lavoro su una patch

Roma – In questo recente advisory Adobe ha confermato l’esistenza di una seria vulnerabilità di sicurezza zero-day in tutte le versioni attualmente supportate di Adobe Reader e Acrobat per Windows, Macintosh e Unix.

Adobe spiega che la falla può essere sfruttata da malintenzionati per causare il crash dell’applicazione ed eventualmente prendere il controllo del sistema vulnerabile. “Abbiamo ricevuto segnalazioni – si legge nell’advisory di Adobe – che la vulnerabilità viene attualmente sfruttata in alcuni attacchi. In attesa che venga resa disponibile una patch, Adobe raccomanda ai propri utenti di seguire le istruzioni su come mitigare il problema”.

Per minimizzare i rischi, agli utenti viene suggerito di avvalersi del JavaScript Blacklist Framework o, in alternativa, di disattivare JavaScript in Adobe Reader e Acrobat (lo si fa andando in Modifica -> Preferenze -> JavaScript e togliendo la spunta alla voce Abilita JavaScript di Acrobat ) e, se disponibile, attivando la funzione DEP (Data Execution Prevention) di Windows (generalmente attivata di default). “Dai nostri test è risultato che con la funzione DEP attivata l’impatto di questo exploit si riduce a un denial of service”, ha detto Adobe.

Come accade per quasi tutte le falle relative ad Adobe Reader e Acrobat, anche questa può essere innescata attraverso l’apertura di un PDF maligno: resta pertanto valida la raccomandazione di non aprire file PDF provenienti da fonti sconosciute o non attendibili.

Ieri la mamma del formato PDF ha fatto sapere che il rilascio di una patch è programmato per martedì 12 gennaio, data in linea con il suo tradizionale ciclo mensile dei rilasci: l’azienda sembra dunque ritenere che la situazione non sia così seria da giustificare la pubblicazione di un fix anticipato.

Per eventuali aggiornamenti sulla vulnerabilità è possibile seguire il blog Adobe Product Security Incident Response Team ( PSIRT ).

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ephestione scrive:
    Programmi di monitoraggio
    E passi che tra un po' l'iphone lo metteranno pure in qualche reclame televisiva poco aulica trasmessa in quarta e quinta serata, di qualche servizio telefonico a pagamento, a svolgere ruoli ben più fantasiosi che non di terminale di controllo per una bici intelligente... ma il software che si vede sulla mela mozzicata esiste anche per WinMo vero? Altrimenti è una presa in giro e l'idea merita di essere boicottata a prescindere...Edit: apparentemente sì, sentendolo meglio e controllando la pagina youtube dice "controlled through your smartphone". Poi che al MIT abbiano deciso di rappresentare il concetto di smartphone con una mela a tecnologie chiusissime, pazienza, scelta loro.-----------------------------------------------------------Modificato dall' autore il 17 dicembre 2009 10.10-----------------------------------------------------------
    • battagliacom scrive:
      Re: Programmi di monitoraggio
      penso che l'abbiamo fatto perchè l'iPhone è lo smartphone più diffuso, o perchè più facile da programmare (ed essendo una versione dimostrativa hanno risparmiato lavoro).
      • ephestione scrive:
        Re: Programmi di monitoraggio
        diciamo che sì, l'iphone è il singolo telefono con la quota di mercato più ampia rispetto agli altri singoli telefoni... ma nella panoramica globale degli smartphone, i dispositivi symbian e blackberry sono in assoluto i più diffusi ;)Comunque, riguardo alla facilità di programmazione su iphone, da non programmatore non mi pronuncio... però non vedo perché dovrebbe essere più facile che non con gli altri os...
Chiudi i commenti