Un nuovo attacco sarebbe stato recentemente rivolto ai documenti in formato PDF. Secondo la Shadowserver Foundation, la vulnerabilità sarebbe piuttosto grave e coinvolgerebbe Adobe Acrobat nelle versioni 8.x e 9.
Sarebbero già in circolazione diverse varianti dell’attacco sebbene, almeno per il momento, le aggressioni sembrino limitate a casi isolati. Shadowserver Foundation osserva comunque come la nuova minaccia non debba essere sottovalutata: spesso bastano poche settimane od addirittura pochi giorni perché una vulnerabilità “0-day”, di recente scoperta, venga sfruttata su vasta scala.
Al solito, la minaccia arriva attraverso documenti PDF modificati con lo scopo di causare danni sul sistema dell’utente. Il codice preso in esame da Shadowserver riesce a modificare il contenuto della memoria per iniettarvi del codice nocivo. In alcune circostanze, Adobe Reader va in crash senza eseguire le istruzioni dannose, specialmente sui sistemi dotati di un maggior quantitativo di memoria e di processori più performanti. In altri casi, il codice viene invece purtroppo eseguito.
Gli esperti di Shadowserver consigliano, come soluzione temporanea, di disattivare l’esecuzione di codice JavaScript all’interno di Adobe Reader. L’operazione è effettuabile accedendo al menù Modifica, Preferenze del programma, cliccando sulla voce JavaScript quindi disabilitando la casella Attiva JavaScript di Acrobat.
Il codice nocivo recentemente scoperto fa parzialmente uso di JavaScript per iniettare codice dannoso: impedendo l’esecuzione di istruzioni JavaScript è possibile quindi mitigare gli effetti di un eventuale attacco.
Stando a quanto riportato, Trend Micro riconosce la nuova minaccia con il nome “TROJ_PIDIEF.IN“.
Adobe ha confermato la presenza del bug e prevede di rilasciare una patch risolutiva, per la versione 9 di Acrobat e Reader, il prossimo 11 marzo. Seguirà la pubblicazione di un aggiornamento destinato agli utenti di Acrobat e Reader 8 e, ancora, successivamente, di Acrobat e Reader 7.