Adobe ha da poco rilasciato gli aggiornamenti che consentono di mettere in sicurezza i software Reader ed Acrobat sanando due pericolose vulnerabilità di sicurezza. Un aggressore potrebbe essere in grado di eseguire codice maligno sul sistema dell’utente spronandolo ad aprire un documento PDF congeniato appositamente per far leva sulle due falle.
La prima vulnerabilità riguarda tutte le versioni di Adobe Reader ed Adobe Acrobat, dalla release 9.1 sino alle release più vecchie, e potrebbe essere sfruttata usando come appiglio un problema legato all’incorretta gestione delle annotazioni all’interno dei file in formato PDF. Responsabile è il metodo “GetAnnots”, presente nelle API JavaScript.
La seconda lacuna di sicurezza riguarda unicamente, invece, la versione Unix di Adobe Reader: in questo caso è un metodo presente nelle API JavaScript ad offrire ad un aggressore una metodologia per porre in essere attacchi “denial of service” o per eseguire codice dannoso all’apertura di un documento PDF modificato “ad hoc”.
La patch che, nel caso della versione 9.1 di Adobe Reader adegua il programma alla release 9.1.1, è scaricabile ad applicabile attraverso la funzionalità “Ricerca aggiornamenti” (è indicato con il codice CPSID_49013).
Tutti i link per il download manuale dei pacchetti di aggiornamento sono comunque disponibili facendo riferimento a questa pagina.
Versioni sperimentali di codice in grado di sfruttare le vulnerabilità risolvibili attraverso l’installazione dell’aggiornamento appena rilasciato circolano da tempo in Rete. Adobe ha comunque precisato di non essere al corrente di veri e propri attacchi. Suggeriamo ai lettori di provvedere il più tempestivamente possibile all’applicazione della patch di sicurezza.