Bucone in Acrobat Reader per Linux

Una pericolosa falla scoperta in alcune vecchie versioni di Adobe Acrobat Reader per Unix può spalancare le porte ai cracker, consentendo di eseguire codice malevolo da remoto


Reston (USA) – Gli utenti di sistemi Unix/Linux che utilizzano la non più giovane, ma ancora diffusissima, versione 5 di Adobe Acrobat Reader rischiano grosso. Il famoso viewer di file PDF, che a partire dalla versione 6 è stato rinominato Adobe Reader, contiene infatti una grave vulnerabilità di sicurezza che un cracker potrebbe sfruttare per compromettere un sistema remoto.

Scoperta dalla società di sicurezza iDefense , e classificata da Secunia con un grado di severità “highly critical”, la falla consiste in un buffer overflow contenuto nella funzione UnixAppOpenFilePerform() utilizzata da Adobe Acrobat Reader per gestire i documenti contenenti il tag /Filespec . Secunia ha spiegato in questo advisory che un aggressore potrebbe sfruttare la debolezza creando un file PDF che, se aperto, esegue del codice malevolo con gli stessi privilegi dell’utente locale.

La vulnerabilità è stata verificata nelle versioni 5.0.9 e 5.0.10 di Adobe Acrobat Reader per Unix, ma potrebbe interessare anche versioni precedenti. Il viewer per Unix di Adobe gira sulle piattaforme Linux, Solaris, HP-UX e IBM AIX: per quanto riguarda le prime due piattaforme, Adobe suggerisce di aggiornare alla nuova versione 7.0; per le ultime due, invece, è disponibile l’update 5.0.11. Entrambi sono scaricabili da qui .

FrSIRT riporta anche una seconda vulnerabilità di Adobe Acrobat Reader 5 per Unix, questa volta valutata con un basso grado di rischio, utilizzabile da un aggressore locale per leggere il contenuto dei file PDF di altri utenti e accedere eventualmente a informazioni sensibili o riservate. La soluzione al problema è la stessa segnalata per la vulnerabilità precedente. In entrambi i casi il reader per Windows non è risultato vulnerabile.

Sebbene Adobe Acrobat Reader 5 risalga al 2001, alcuni analisti sostengono che questa versione sia ancora molto diffusa sui client Unix aziendali.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Worms ...
    what butterflies really are when you look past their colorful wings ....;)
  • Anonimo scrive:
    E noi osserviamo...
    Due worm che lavorano in coppia....Mentre nei vostri sistemi avete codicilli che giocano a carte a vostra insaputa noi vi osserviamo (suppongo anche abbastanza esilarati)....(linux)
  • Anonimo scrive:
    Gaobot?
    Virus writer pisano o wirus writer livornese che piglia per il qlo i pisani? :p
    • Anonimo scrive:
      Re: Gaobot?
      - Scritto da: Anonimo
      Virus writer pisano o wirus writer livornese che
      piglia per il qlo i pisani? :p La seconda che hai detto! :D
      • Anonimo scrive:
        Re: Gaobot?
        - Scritto da: Anonimo

        - Scritto da: Anonimo

        Virus writer pisano o wirus writer livornese che

        piglia per il qlo i pisani? :p

        La seconda che hai detto! :DBarroccio pisano a due stanghe precipita nel bottino a causa di un blocco del SW di controllo provocato da Gaobot.IUF
  • Anonimo scrive:
    Quando ho letto il titolo...
    ...ero sicuro che i due nomi che avrei letto fossero Ballmer e Gates :D
  • M3talG3ar scrive:
    Msn
    Ho un amico che mi ha mandato un messaggio simile ed ho subito capito che era un virus, ho anche fatto uno screen! Teh!http://www.m3talg3ar.net/polaris.jpgSpero possa aiutarvi a non beccarlo!Marco BenfattoM3talG3ar
    • francescor82 scrive:
      Re: Msn

      ed ho subito capito che era un virus, ho anche
      fatto uno screen! Teh!

      http://www.m3talg3ar.net/polaris.jpg

      Spero possa aiutarvi a non beccarlo!Grazie per lo screenshot, spero possa aiutare. :-)
      • Anonimo scrive:
        Re: Msn
        sei proprio un volpone ne.. CASHWAYZ Cashwayz è un autosurf pagante americano con timer di 20 secondi.serve x rimpinguarti le tasche?ke schifo..
        • M3talG3ar scrive:
          Re: Msn
          - Scritto da: Anonimo
          sei proprio un volpone ne..

          CASHWAYZ Cashwayz è un autosurf pagante americano
          con timer di 20 secondi.
          serve x rimpinguarti le tasche?ke schifo..Sto solo provando con i sistemi di guadagno on-line, ma non andiamo Off-Topic!Se qualcuno sa qualche novità la posti!Speriamo che la Symantec non faccia com al solito con i suoi response time alti!
      • Anonimo scrive:
        Re: Msn
        - Scritto da: francescor82

        ed ho subito capito che era un virus, ho anche

        fatto uno screen! Teh!



        http://www.m3talg3ar.net/polaris.jpg



        Spero possa aiutarvi a non beccarlo!

        Grazie per lo screenshot, spero possa aiutare. :-)ma... c'è gente che usa messenger? :o
        • Anonimo scrive:
          Re: Msn
          purtroppo molta più gente di quanto pensassi :Pbasta un po' di pubblicità e tutti dietro come pecore....
          • francescor82 scrive:
            Re: Msn
            - Scritto da: Anonimo
            purtroppo molta più gente di quanto pensassi :P
            basta un po' di pubblicità e tutti dietro come
            pecore....MSN inteso come protocollo non mi dispiace, nonostante sia proprietario (magari il nome del protocollo non è MSN, in quel caso chiedo venia).Per chi fosse "costretto" ad usarlo, consiglio però aMSN piuttosto che il Messenger classico. Ha alcune caratteristiche in più che spesso si sono rivelate utili; di meno, ha il fatto che (ancora) non supporta le videochat... oh, e neanche i giochini online :-D Insomma, se dovete solo chattare è più che buono.
  • Anonimo scrive:
    per la redazione: il piuttosto che
    "fingendosi di volta in volta una collezione di foto osé piuttosto che un videogioco craccato. "per favore non perpetuate quello che sta diventando un ormai consueto scempio della nostra lingua.ormai prof, giornalisti, attori, intellettuali stanno prendendo su questa espressione usata incorrettamente, cioè come ad equiparare due cose o due situazioni ugualmente plausibili, quando l'uso corretto, come da etimologia più tosto + velocemente, esclude il termine successivo, ad es"preferisco un gelato piuttosto che un calcio nel.."state in guardia Crusca Accademica member
Chiudi i commenti