QR code per la pagina originale

Più grave del previsto la falla di Adobe

Una vulnerabilità in alcuni software Adobe è stata scoperta nei giorni scorsi dagli italiani Stefano Di Paola, Giorgio Fedon ed Elia Florio. Il problema sembra essere stato sottovalutato ed ora Adobe consiglia di passare quanto prima ad Acrobat Reader 8

,

Una vulnerabilità è stata segnalata nei giorni scorsi (03/01) nella produzione software Adobe. La scoperta, firmata dagli italiani Stefano Di Paola e Giorgio Fedon, è stata però inizialmente presa sottogamba, relegata ad ambiti ristretti e Secunia ne aveva dato giudizio del tipo «less critical». Passano pochi giorni (05/01) ed un «moderately critical» fotografa il fatto che nuove rilevazioni costringono a rivedere la questione per tenere in maggior considerazione i pericoli possibili (SA23483).

La vulnerabilità, infatti, sembra oggi poter essere attaccata in uno scenario web-based tramite link a documenti .pdf dal contenuto appositamente creato. «Hijacking, Cross Site Scripting, DoS, System access»: un possibile exploit avrebbe conseguenze non completamente trascurabili e la stessa Adobe ha immediatamente notificato alla propria utenza un report ufficiale sul problema.

L’innalzamento del livello di allarme sarebbe stato compiuto, secondo quanto raccolto da CNet, anche in seguito delle analisi SPI Dynamics e WhiteHat Security, secondo cui i dati contenuti negli hard disk attaccati sarebbero in serio pericolo in quanto qualsiasi JavaScript potrebbe essere fatto girare in locale con ogni conseguenza del caso.

Secondo il documento relativo alla presentazione pubblica delle vulnerabilità Adobe, Di Paola e Fedon avrebbero notificato alla software house il problema in data 15 Ottobre. Sul proprio sito web (WIse SECurity) Stefano Di Paola estende ad Elia Florio i ringraziamenti per il contributo alle analisi portate avanti e fornisce ulteriori precisazioni circa l’entità del problema.

Onde limitare la pericolosità di un eventuale attacco, l’utenza è stata caldamente consigliata ad un passaggio all’ultimo Acrobat Reader 8, mentre una nuova versione riveduta e corretta è in fase di sviluppo presso gli stessi laboratori Adobe. Importante incidenza nella gravità di un attacco è rivestita altresì dalla versione del browser in uso. Considerati pericolosi dal report Secunia, ad esempio, Internet Explorer 6 e Firefox 2.0.0.1.

Notizie su: