Adobe, patch estive extra

Sistemazioni d'emergenza per Flash, Reader e Acrobat. Tappate le falle rivelate al Black Hat. Il rischio di attacco è basso, ma ora la vulnerabilità è nota: meglio aggiornare

Roma – Un aggiornamento extra-ciclo , resosi necessario per arginare un paio di falle nella gestione dei PDF simili a quelle sotto i cui colpi era caduto iPhone, è stato reso disponibile da Adobe per Acrobat e Reader. La vulnerabilità era stata descritta da Charlie Miller , noto esperto di sicurezza, lo scorso luglio durante la conferenza Black Hat: sebbene le informazioni cruciali fossero state omesse da Miller durante la sua presentazione, e lui stesso avesse presumibilmente informato Adobe dei dettagli, la loro portata ha convinto gli sviluppatori a rilasciare una nuova release dei loro software anzitempo. Il prossimo aggiornamento programmato resta comunque fissato per ottobre .

Adobe ha invitato tutti gli interessati, ovvero gli utilizzatori di Reader 9.3.3, Acrobat 9.3.3, Adobe Reader 8.2.3 e Acrobat 8.2.3, ad aggiornare il proprio software tramite il sistema di download integrato: la falla coinvolge anche le versioni precedenti , dunque è consigliato di procedere all’installazione della nuova release al più presto. Interessati sono tutti i sistemi su cui sono presenti i software: Windows, Macintosh e Unix. Il download dei nuovi pacchetti dal sito Adobe sarà invece possibile solo dalla fine del mese. Curiosamente , nelle note di rilascio viene ringraziato Tavis Ormandy di Google per l’aiuto fornito nella risoluzione del problema discusso al Black Hat di quest’anno.

In ogni caso neppure Adobe, così come Miller, ha reso noti i dettagli del problema: si sa solo che è collegato alla gestione delle font in un documento PDF (ma non è lo stesso bug individuato e sfruttato in iOS 4.0.1, poi corretto ). Inoltre, sono state sistemate una vulnerabilità genericamente indicate come “integer overflow” (con conseguente esecuzione di codice arbitrario) e ulteriormente abbassato il rischio che l’apertura di un file arbitrario possa condurre all’esecuzione di codice indesiderato. Adobe ha anche approfittato dell’occasione per aggiornare la versione di Flash contenuta in alcuni dei pacchetti interessati, visto che sempre ad agosto era stato risolto un altro problema che riguardava tutte le versioni per tutte le piattaforme.

Entrambi gli aggiornamenti sono stati classificati come “critici” dall’azienda: ma, par di capire , nel caso di Acrobat e Reader al momento non erano ancora in circolazione in the wild attacchi specifici che sfruttavano la vulnerabilità. In ogni caso, vista l’uscita della patch, sarà solo questione di tempo prima che i produttori di malware effettuino il reverse engineering del codice e provvedano a realizzare un exploit apposito: per aiutarli ci sono anche le informazioni fornite da Miller al Black Hat di Las Vegas, pertanto è fortemente consigliato provvedere ad aggiornare i software Adobe a bordo della propria macchina.

Infine, qualche polemica è scattata per le modalità di rilascio di questo aggiornamento : alcuni amministratori di sistema potrebbero storcere il naso di fronte alla necessità di testare un elemento quasi onnipresente, come Reader, prima della sua diffusione di massa nei sistemi gestiti. Un test extra, visto che è la stessa Adobe ad aver chiarito che si tratta di un rilascio fuori-ciclo, e un test complicato dalla mancanza di informazioni precise sulla vulnerabilità: la conoscenza di questi dati potrebbe infatti suggerire una migrazione più consapevole dei sistemi, che a questo punto gli admin auspicano possa essere fatta in futuro se si dovesse ripresentare un’emergenza.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • umby scrive:
    Ormai sono passato a yahoo...
    Intendiamoci, ho sostenuto google fino dai suoi primi vagiti, ma ora é diventato un cassone ingombrante.Giá tempo fa, in firefox 3.qualcosa, era implementato nella barra di ricerca un qualcosa di simile, ma ho dovuto eliminarla dalla configurazione, perché passando per un server proxy con autentificazione (eser+pass) mi compariva la finestra di login ad ogni carattere premuto nella barra di ricerca.Da qualche settimana, pure la ricerca per immagini é totalmente ingestibile!Se vuoi vedere le pagine successive, ti vengono caricate tutte insieme in un ordine idiota, obbligandoti ad una attesa snervante.Le ricerche in generale contengono il 99% di fuffa!Se componi una mail, hai il salvataggio automatico in bozza, che ti blocca (non disattivabile) continuamente (e tanti se ne sono lamentati nel forum di assistenza).Mi spiace lasciare quello che una volta avevo sempre sostenuto, ma yahoo é piú coinciso e meno carcassone!
    • Joshthemajor scrive:
      Re: Ormai sono passato a yahoo...
      Ti blocca?
    • Giurato scrive:
      Re: Ormai sono passato a yahoo...

      - Scritto da: umby
      perché passando per un server
      proxy con autentificazione (eser+pass) mi
      compariva la finestra di login ad ogni carattere
      premuto nella barra di
      ricerca.perdonami, ma non dare la colpa a google, ma a chi ha configurato quel proxy in modo becero...
      • RealENNECI scrive:
        Re: Ormai sono passato a yahoo...
        - Scritto da: Giurato

        - Scritto da: umby

        perché passando per un server

        proxy con autentificazione (eser+pass) mi

        compariva la finestra di login ad ogni carattere

        premuto nella barra di

        ricerca.

        perdonami, ma non dare la colpa a google, ma a
        chi ha configurato quel proxy in modo
        becero...quoto... sempre a puntare il dito a caso..
        • Nome e cognome scrive:
          Re: Ormai sono passato a yahoo...
          Diciamo che si è reso conto, in questo modo, che ci sono invii per qualsiasi cosa.Una volta nei programmi veniva fatta una domanda, tipo "Vuoi controllare se ci sono aggiornamenti?".Adesso controllano, poi scaricano, poi scaricano ancora, poi ti dicono che vanno installati (parlo di configurazioni di default, ossia il 90% che trovi sui pc degli utenti).
    • Valeren scrive:
      Re: Ormai sono passato a yahoo...
      Wow, adesso sei la prima persona che conosca o che legga in giro ad utilizzare yahoo.
      • Doc scrive:
        Re: Ormai sono passato a yahoo...
        - Scritto da: Valeren
        Wow, adesso sei la prima persona che conosca o
        che legga in giro ad utilizzare
        yahoo.Cominciavo a temere di avere parcheggiato la DeLorean nel 1997...
  • Nome e cognome scrive:
    Fastidioso
    Sarà fastidioso come una persona che ti risponde senza farti finire la domanda, nonché pesante per i 56k
    • cav scrive:
      Re: Fastidioso
      Hai maledettamente ragione:Uno spreco di banda assurdo! In una rete aziendale se uno si metterà a scrivere nel box di ricerca finirà per bloccare la navigazioe agli altri- Scritto da: Nome e cognome
      Sarà fastidioso come una persona che ti risponde
      senza farti finire la domanda, nonché pesante per
      i
      56k
      • illuso scrive:
        Re: Fastidioso
        - Scritto da: cav
        Hai maledettamente ragione:
        Uno spreco di banda assurdo!
        In una rete aziendale se uno si metterà a
        scrivere nel box di ricerca finirà per bloccare
        la navigazioe agli
        altriCapirai... hai paura che ti schiantino il mulo?
      • Nome e cognome scrive:
        Re: Fastidioso
        - Scritto da: nessuno
        pensi che una funzionalità del genere sprechi più
        banda del filmino che ti guardi attualmente su
        youtube?Magari non in senso assoluto, ossia pochi kb che circolano, ma la rete potrebbe congestionarsi per i troppi pacchetti che viaggiano.Esempio classito: gli sms per Natale o 100.000 file da 1 byte sul disco fisso.Un'azienda grossa come Google dovrebbe dare il buon esempio e non incoraggiare questo tipo di cose.Si sa che poi molti copiano, e magari non hanno le conoscenze per fare dei buoni lavori.
    • SCF IS EVIL scrive:
      Re: Fastidioso
      A mio parere il più grande difetto degli italiani: guardare al passato invece che al futuro!Non voler un nuovo servizio perchè non retrocompatibile con tecnologie che ormai appartengono al passato è assurdo. Invece di lamentarsi con chi innova, fatelo con chi vi obbliga a rimanere nel passato.
      • ciccio pasticcio scrive:
        Re: Fastidioso
        - Scritto da: SCF IS EVIL
        Non voler un nuovo servizio perchè non
        retrocompatibile con tecnologie che ormai
        appartengono al passato è assurdo.vorresti dirmi che le tecnologie non-retrocompatibili portano a dei benefici? di sicuro i benefici li portano alle tasche dei produttori che ti venderanno la "grande novità di cui non potrai fare a meno".Internet si basa su protocolli studiati con intelligenza (prima che con il portafolio), per questo a distanza di 40 anni lo stiamo ancora usando, ed è ancora in ottima forma.
        • Nome e cognome scrive:
          Re: Fastidioso
          E sicuramente non è stata fatta per servizi realtime, perchè se tutti iniziamo ad inviare pacchetti, non va più nessuno. Esistono nodi da cui passare e per forza di cose tutti passeranno di lì, saturando il canale prima o poi.Forse non oggi (milioni di pc) ma domani con miliardi di disposisivi connessi con ipv6 bisognerà risparmiare fino all'ultimo pacchetto trasferito.Ok alle innovazioni, ma battere il tasto INVIO quando hai finito di scrivere onn mi sembra così anomalo.
        • desyrio scrive:
          Re: Fastidioso


          vorresti dirmi che le tecnologie
          non-retrocompatibili portano a dei benefici?
          Sicuramente non è una cosa generalizzabile, ma in molti casi si. L'ottimizzazione degli Istruction Set Architecture di molti proXXXXXri per es. è fortemente gravata dalle necessità di retrocompatibilità.Per non parlare degli anni sprecati nell'evoluzione web per rimanere compatibili ad IE5 ed IE6...-----------------------------------------------------------Modificato dall' autore il 25 agosto 2010 09.10-----------------------------------------------------------
          • ciccio pasticcio scrive:
            Re: Fastidioso
            - Scritto da: desyrio
            Per non parlare degli anni sprecati
            nell'evoluzione web per rimanere compatibili ad
            IE5 ed
            IE6...ma li non si tratta di retrocompatibilità, quella è stata l' ennesima bastardata di una azienda che ha voluto seguire la sua strada invece di rispettare gli standard (sapendo che tanto ormai la maggioranza degli utenti avrebbe usato intermerd exploder), e purtroppo ancora oggi ne paghiamo le conseguenze (quanto tempo perso per adattare i CSS ...)
  • SOLO FUFFA scrive:
    inutili innovazioni...
    finchè il motore di ricerca non restituirà risultati context-sensitive, tutto il resto è fuffa... ma siccome non lo sanno fare ne loro ne quelli di bing, ne yahoo allora aggiungono XXXXXXXlle... funzioncine inutili, sfondi con belle foto... solo fuffa insomma.
    • Nome e cognome scrive:
      Re: inutili innovazioni...
      E' ancora presto, ci vorranno parecchi anni.Google, che una volta sembrava davvero innovativo, oggi raccoglie talmente tanti dati che la ricerca non è più così precisa.Un po' perchè alcuni siti, non so come, danno indietro risultati falsi e non contengono le parole chiave, e un po' perchè in effetti il contenuto del web è davvero immenso.
    • desyrio scrive:
      Re: inutili innovazioni...
      Vai anche dalla Mercedes a dire: "finchè non fate macchine volanti tutti i nuovi modelli sono solo fuffa" ? :D
      • il solito bene informato scrive:
        Re: inutili innovazioni...
        - Scritto da: desyrio
        Vai anche dalla Mercedes a dire: "finchè non fate
        macchine volanti tutti i nuovi modelli sono solo
        fuffa" ?
        :DIo andrei alla Mercedes (una per tutte) a dire: finché non comincerete a produrre auto che non scaricano due etti di anidride carbonica al chilometro, tutti i nuovi modelli sono fuffa:-)-----------------------------------------------------------Modificato dall' autore il 24 agosto 2010 14.01-----------------------------------------------------------
  • Luigi Orini scrive:
    google
    come si può provare?
    • lordream scrive:
      Re: google
      - Scritto da: Luigi Orini
      come si può provare?al momento solo pochi fortunati possono provare questa nuova funzione che (è bene ricordare) è solo un test
      • Nome e cognome scrive:
        Re: google
        Ma è davvero utile?Per chi va ancora con modem 56k o per chi ha la banda intasata, non mi sembra una soluzione ottimale.Proviamo a pensare ai milioni di persone che cercano su Google. Prima era un invio di dati, ora se scrivi 5-6 parole hai decine di invii e ritorni, del tutto inutili.
        • Luigi Orini scrive:
          Re: google
          - Scritto da: Nome e cognome
          Per chi va ancora con modem 56k o per chi ha la
          banda intasata, non mi sembra una soluzione
          ottimale.Beh cavoli loro :D Siamo nel 2010, mica negli anni '80 ;)
          • Nome e cognome scrive:
            Re: google
            Grazie per pensare anche a noi altri...Comunque anche l'idea di Google Wave ha fatto cilecca, magari il fatto di vedere quello che tutti scrivono in diretta potrebbe aver pesato negativamente sulla qualità del servizio.
        • Luigi Orini scrive:
          Re: google
          - Scritto da: nessuno
          penso che metteranno la possibilità di
          disattivare la ricerca live per chi volente o
          nolente vuole usare la ricerca "tradizionale".Ma di default quale metteranno?
          con conseguente aumento dell' energia dissipata
          dai
          server:
          http://www.key4biz.it/News/2009/01/13/Tecnologie/GPoco male tanto adesso Obama costruisce le centrali nucleari... ;)
        • Joshthemajor scrive:
          Re: google
          Potrebbe invece risultare molto utile!Visualizzando parte delle ricerche che avresti potuto fare, durante la visualizzazione, magari dantoti nuovi spunti per parole chiave.
Chiudi i commenti