Arriva oggi la nuova versione di Adobe Acrobat Reader, immune ai vari problemi di sicurezza messi a nudo nei giorni scorsi. Sebbene l’ottava versione del software per la lettura dei file in formato PDF fosse sicura, sino ad oggi tutti gli utenti delle versioni precedente la 7.0.9, appena rilasciata, erano esposti a rischi.
Acrobat Reader 7.0.9, disponibile anche in italiano, integra le patch correttive per diverse vulnerabilità tra le quali vi sono quelle scoperte dagli italiani Stefano Di Paola, Giorgio Fedon ed Elia Florio. I tre esperti di sicurezza avevano illustrato come tutti gli utenti di Acrobat Reader (fatta eccezione per coloro che avevano scelto di installare la versione 8.0) fossero esposti ad attacchi “cross site scripting”.
Il componente interessato dalla vulnerabilità è l’Adobe Acrobat Reader Plugin nelle versioni 7.0.8 e precedenti. I problemi di sicurezza possono avere un impatto differente a seconda della versione del browser che l’utente utilizza (ad esempio, Firefox od Internet Explorer).
Le vulnerabilità scoperte nel plugin di Acrobat Reader potrebbero aprire la strada ad attacchi di tipo “Universal cross site scripting” (UXSS). Con la dizione “cross site scripting” (XSS) si definisce infatti una tipologia di attacco che generalmente viene portata a termine sfruttando una vulnerabilità di una “web application”. L’aggressore inserisce del codice arbitrario come input di una web application in modo da modificarne il comportamento. A questo punto l’aggressore può preparare un URL “ad hoc” ed inviarlo ad un ignaro utente. Quest’ultimo si sentirà sicuro poiché gli sembrerà di utilizzare i servizi messi a disposizione dal sito web vulnerabile.
In questo caso, invece, si ha a che fare con problematiche residenti nei componenti lato client (coppia browser, plugin Acrobat Reader) e non legate ad un sito web.
Un aggressore remoto potrebbe quindi sfruttare l’ampia diffusione del plug-in di Adobe per condurre attacchi UXSS con la possibilità di eseguire codice javascript sulla macchina vittima e sfruttare le enormi potenzialità della tecnologia AJAX per far danni.
Acrobat Reader 7.0.9 risolve però anche un’altra importante vulnerabilità, segnalata ad Adobe già nel mese di Settembre 2006. Un aggressore remoto potrebbe essere in grado di eseguire codice maligno sul sistema vulnerabile “confezionando” un file PDF maligno, preparato “ad arte” per sfruttare la falla di sicurezza. Anche questa lacuna è da considerarsi ovviamente estremamente critica vista l’elevatissima diffusione dei file in formato PDF e la fiducia che generalmente l’utente tende ad accordare in questo tipo di file.
Chi preferisse non aggiornarsi alla versione 8.0 di Acrobat Reader che, tra l’altro, non è al momento ancora disponibile in lingua italiana, può quindi installare subito Acrobat Reader 7.0.9 per evitare di correre qualunque rischio.
Il prodotto, in italiano, può essere prelevato facendo riferimento a questa pagina od al sito ufficiale.
Dato che tutte le vulnerabilità di sicurezza conosciute sono state risolte, Secunia classifica ora (ved. questa pagina) l’uso di Acrobat Reader 7.0.9 come pienamente sicuro.
Adobe rilascia Acrobat Reader 7.0.9 e risolve tutte le vulnerabilità
Arriva oggi la nuova versione di Adobe Acrobat Reader, immune ai vari problemi di sicurezza messi a nudo nei giorni scorsi.