Tre mesi dopo aver confermato la scoperta di alcune pericolose vulnerabilità nel suo popolarissimo software Reader, per la lettura e la gestione di documenti in formato PDF, Adobe ha spazzato via l’alone di mistero che circondava le problematiche di sicurezza.
In un bollettino di sicurezza appena pubblicato (ved. questa pagina), Adobe ha elencato otto vulnerabilità, la maggior parte delle quali indicate come “critiche”, confermando di averne già risolto alcune – lo scorso mese di Febbraio – attraverso il rilascio di Reader 8.1.2 e di Acrobat 8.1.2.
La segretezza che ha circondato le falle di sicurezza nel corso dell’ultimo trimestre aveva stupito ed insospettito gli esperti. Andrew Storms, direttore sicurezza presso nCircle Network Security, ha rilasciato alcune dichiarazioni in merito: “penso che Adobe abbia ritenuto che la gravità dei problemi richiedesse un certo grado di segretezza. Sei delle otto vulnerabilità riguardano JavaScript. Non si tratta di uno scenario d’attacco di difficile attuazione. Non c’è da compilare codice e l’attacco può realisticamente funzionare su qualsiasi piattaforma hardware e software”.
Il bollettino pubblicato da Adobe appare comunque molto conciso: non vengono ad esempio discussi i possibili vettori di attacco: “queste vulnerabilità potrebbero causare crash dell’applicazione oppure favorire l’esecuzione di codice nocivo da parte di un aggressore il quale potrebbe prendere il controllo dell’intero sistema”, è il succo della nota.
Il suggerimento è quello di verificare di avere provveduto all’installazione della versione 8.1.2 di Adobe Reader. In caso contrario, il rischio di subire un attacco è concreto, semplicemente aprendo un file PDF “maligno”.