Adobe, mediante il rilascio di nuovi aggiornamenti per i suoi software Reader ed Acrobat, ha provveduto a risolvere due vulnerabilità di sicurezza, compresa una che era emersa in occasione dell’annuale “Black Hat Conference” del mese scorso. Durante l’evento, il famoso esperto Charlie Miller aveva dimostrato l’esistenza della vulnerabilità, collegata ad un errore – da parte di Reader ed Acrobat – nella gestione delle fonti di carattere. Secondo Adobe, la falla di sicurezza era già nota in quanto precedentemente segnalata da parte di Tavis Ormandy, un altro esperto in materia e già ampiamente noto per le sue “scoperte” (ved. queste precedenti notizie).
La seconda vulnerabilità, invece, era stata già oggetto di un aggiornamento nel corso del mese di giugno. Il problema, in questo caso, riguardava la possibilità – da parte di un aggressore – di eseguire, ricorrendo allo switch “/Launch
, un eseguibile precedentemente integrato all’interno dello stesso documento PDF. La lacuna di sicurezza era stata portata alla luce da parte del ricercatore belga Didier Stevens (ved. questi articoli) che aveva rilevato la medesima falla anche in altri prodotti come Foxit PDF Reader (a sua volta messo in sicurezza parte dei suoi sviluppatori).
All’inizio di luglio, però, Bkis – azienda attiva nel campo della sicurezza informatica – ha rilevato che Adobe Reader 9.3.3 non sanava completamente il problema portato alla pubblica attenzione da Stevens. I ricercatori di Bkis spiegarono che bastava racchiudere il comando cmd.exe
(usato per invocare l’eseguibile nocivo) tra virgolette ed inserirlo nel file PDF (uso dello switch /launch) per mandare in esecuzione codice potenzialmente molto pericoloso sul sistema dell’utente.
Stevens confermò la scoperta aggiungendo che il problema era correlato ad una lacuna presente nella “lista nera” delle estensioni di Adobe Reader (ved., a tal proposito, questa notizia).
Le versioni 9.3.4 e 8.3.4 di Reader ed Acrobat dovrebbero quindi mettere definitivamente una pezza alle due problematiche classificate come “critiche” dalla stessa Adobe. L’aggiornamento è installabile ricorrendo alla funzionalità integrata nel software di Adobe oppure fruendo della procedura di update automatico varata lo scorso aprile.