Adobe risolve una brutta vulnerabilità in Reader

Adobe ha rilasciato un aggiornamento di sicurezza destinato agli utenti dei pacchetti Reader ed Acrobat per risolvere una lacuna di sicurezza già utilizzata per condurre attacchi “mirati”. La problematica principale è legata ad un’incorretta gestione dei contenuti “Universal 3D” (U3D) integrati all’interno dei file PDF: gli utenti che aprissero un documento malevolo appositamente preparato da un aggressore, potrebbero incorrere nell’esecuzione di codice dannoso. La falla era già emersa nelle scorse settimane quando Adobe, confermando l’esistenza del problema, citò esplicitamente Lockheed Martin (ved. questo nostro articolo, una delle più grandi aziende statunitensi attive nei settori dell’ingegneria aerospaziale e della difesa. Sebbene non vi siano state dichiarazioni in merito, è probabile che i criminali informatici abbiano sfruttato lo vulnerabilità “zero-day” per prendere di mira proprio Lockheed Martin, il maggior contraente militare degli Stati Uniti.
La patch appena pubblicata da Adobe consente di risolvere anche un’ulteriore lacuna legata alla gestione dei file 3D Product Representation Compact.

Gli aggiornamenti riguardano, per il momento, solo gli utenti di Adode Reader ed Acrobat 9.x: installando le patch, si porterà il prodotto al numero di release più recente (9.4.7).

I tecnici di Adobe hanno spiegato che per adesso non si è provveduto al rilascio di un aggiornamento per Reader X e Acrobat X dal momento che la tecnologia di sandboxing usata dai due prodotti consente di arginare le conseguenze di un possibile attacco. Le patch destinate alle versioni più recenti dei prodotti a marchio Adobe dovrebbero essere messe a disposizione degli utenti dopo le feste, il prossimo 10 gennaio.

Nel frattempo, è indispensabile che gli utenti di Reader ed Acrobat 9.x controllino la versione utilizzata e provvedano all’installazione della release 9.4.7 (menù ?, Ricerca aggiornamenti).