Con Acrobat Reader 7.0.9 Adobe risolve tutte le vulnerabilità.

Ciao a tutti, finalmente Adobe ha risolto i suoi problemi di vulnerabilità in rete.

E’ finalmente disponibile la nuova versione di Adobe Acrobat Reader, immune ai vari problemi di sicurezza evidenziati nei giorni scorsi.

 

Di seguito, l’articolo di Michele Nasi – www.ilsoftware.it

Link suggeriti

11 Gennaio 2007

Arriva oggi la nuova versione di Adobe Acrobat Reader, immune ai vari problemi di sicurezza messi a nudo nei giorni scorsi.

Sebbene l’ottava versione del software per la lettura dei file in formato Pdf fosse sicura, sino ad oggi tutti gli utenti delle versioni precedente la 7.0.9, appena rilasciata, erano esposti a rischi.

Acrobat Reader 7.0.9, disponibile anche in italiano, integra le patch correttive per diverse vulnerabilità tra le quali vi sono quelle scoperte dagli italiani Stefano Di Paola, Giorgio Fedon ed Elia Florio.

I tre esperti di sicurezza avevano illustrato come tutti gli utenti di Acrobat Reader (fatta eccezione per coloro che avevano scelto di installare la versione 8.0) fossero esposti ad attacchi “cross site scripting”. Il componente interessato dalla vulnerabilità è l’Adobe Acrobat Reader Plugin nelle versioni 7.0.8 e precedenti. I problemi di sicurezza possono avere un impatto differente a seconda della versione del browser che l’utente utilizza (ad esempio, Firefox od Internet Explorer).

Le vulnerabilità scoperte nel plugin di Acrobat Reader potrebbero aprire la strada ad attacchi di tipo “Universal cross site scripting” (UXSS). Con la dizione “cross site scripting” (XSS) si definisce infatti una tipologia di attacco che generalmente viene portata a termine sfruttando una vulnerabilità di una “web application”. L’aggressore inserisce del codice arbitrario come input di una web application in modo da modificarne il comportamento. A questo punto l’aggressore può preparare un URL “ad hoc” ed inviarlo ad un ignaro utente.

Quest’ultimo si sentirà sicuro poiché gli sembrerà di utilizzare i servizi messi a disposizione dal sito web vulnerabile. In questo caso, invece, si ha a che fare con problematiche residenti nei componenti lato client (coppia browser, plugin Acrobat Reader) e non legate ad un sito web.

Un aggressore remoto potrebbe quindi sfruttare l’ampia diffusione del plug-in di Adobe per condurre attacchi UXSS con la possibilità di eseguire codice javascript sulla macchina vittima e sfruttare le enormi potenzialità della tecnologia AJAX per far danni. Acrobat Reader 7.0.9 risolve però anche un’altra importante vulnerabilità, segnalata ad Adobe già nel mese di Settembre 2006. Un aggressore remoto potrebbe essere in grado di eseguire codice maligno sul sistema vulnerabile “confezionando” un file PDF maligno, preparato “ad arte” per sfruttare la falla di sicurezza.

Anche questa lacuna è da considerarsi ovviamente estremamente critica vista l’elevatissima diffusione dei file in formato PDF e la fiducia che generalmente l’utente tende ad accordare in questo tipo di file. Chi preferisse non aggiornarsi alla versione 8.0 di Acrobat Reader che, tra l’altro, non è al momento ancora disponibile in lingua italiana, può quindi installare subito Acrobat Reader 7.0.9 per evitare di correre qualunque rischio.

Il prodotto, in italiano, può essere prelevato facendo riferimento a questa pagina o al sito ufficiale.

Dato che tutte le vulnerabilità di sicurezza conosciute sono state risolte, Secunia classifica ora l’uso di Acrobat Reader 7.0.9 come pienamente sicuro.

Scaricate l’ultimo aggiornamento e sarete al sicuro !! Stay tuned…

Alle prossime, paolettopn.

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: