Adobe, patch estive extra

Un aggiornamento extra-ciclo , resosi necessario per arginare un paio di falle nella gestione dei PDF simili a quelle sotto i cui colpi era caduto iPhone, è stato reso disponibile da Adobe per Acrobat e Reader. La vulnerabilità era stata descritta da Charlie Miller , noto esperto di sicurezza, lo scorso luglio durante la conferenza Black Hat: sebbene le informazioni cruciali fossero state omesse da Miller durante la sua presentazione, e lui stesso avesse presumibilmente informato Adobe dei dettagli, la loro portata ha convinto gli sviluppatori a rilasciare una nuova release dei loro software anzitempo. Il prossimo aggiornamento programmato resta comunque fissato per ottobre .

Adobe ha invitato tutti gli interessati, ovvero gli utilizzatori di Reader 9.3.3, Acrobat 9.3.3, Adobe Reader 8.2.3 e Acrobat 8.2.3, ad aggiornare il proprio software tramite il sistema di download integrato: la falla coinvolge anche le versioni precedenti , dunque è consigliato di procedere all’installazione della nuova release al più presto. Interessati sono tutti i sistemi su cui sono presenti i software: Windows, Macintosh e Unix. Il download dei nuovi pacchetti dal sito Adobe sarà invece possibile solo dalla fine del mese. Curiosamente , nelle note di rilascio viene ringraziato Tavis Ormandy di Google per l’aiuto fornito nella risoluzione del problema discusso al Black Hat di quest’anno.

In ogni caso neppure Adobe, così come Miller, ha reso noti i dettagli del problema: si sa solo che è collegato alla gestione delle font in un documento PDF (ma non è lo stesso bug individuato e sfruttato in iOS 4.0.1, poi corretto ). Inoltre, sono state sistemate una vulnerabilità genericamente indicate come “integer overflow” (con conseguente esecuzione di codice arbitrario) e ulteriormente abbassato il rischio che l’apertura di un file arbitrario possa condurre all’esecuzione di codice indesiderato. Adobe ha anche approfittato dell’occasione per aggiornare la versione di Flash contenuta in alcuni dei pacchetti interessati, visto che sempre ad agosto era stato risolto un altro problema che riguardava tutte le versioni per tutte le piattaforme.

Entrambi gli aggiornamenti sono stati classificati come “critici” dall’azienda: ma, par di capire , nel caso di Acrobat e Reader al momento non erano ancora in circolazione in the wild attacchi specifici che sfruttavano la vulnerabilità. In ogni caso, vista l’uscita della patch, sarà solo questione di tempo prima che i produttori di malware effettuino il reverse engineering del codice e provvedano a realizzare un exploit apposito: per aiutarli ci sono anche le informazioni fornite da Miller al Black Hat di Las Vegas, pertanto è fortemente consigliato provvedere ad aggiornare i software Adobe a bordo della propria macchina.

Infine, qualche polemica è scattata per le modalità di rilascio di questo aggiornamento : alcuni amministratori di sistema potrebbero storcere il naso di fronte alla necessità di testare un elemento quasi onnipresente, come Reader, prima della sua diffusione di massa nei sistemi gestiti. Un test extra, visto che è la stessa Adobe ad aver chiarito che si tratta di un rilascio fuori-ciclo, e un test complicato dalla mancanza di informazioni precise sulla vulnerabilità: la conoscenza di questi dati potrebbe infatti suggerire una migrazione più consapevole dei sistemi, che a questo punto gli admin auspicano possa essere fatta in futuro se si dovesse ripresentare un’emergenza.