Adobe Reader e Acrobat nuovamente a rischio

Adobe ha da poco confermato la presenza di una vulnerabilità critica in alcune versioni dei propri applicativi Reader e Acrobat. La falla potrebbe consentire l'esecuzione di codice non autorizzato e sarà risolta con una patch il prossimo 13 ottobre

Una nuova grave minaccia affligge alcuni dei più celebri e diffusi applicativi prodotti da Adobe. Stando alle prime informazioni, Adobe Reader e Acrobat 9.1.3 e versioni precedenti per piattaforme Windows, Macintosh e Unix sono colpiti da una vulnerabilità critica che potrebbe consentire a un utente malintenzionato di eseguire codice non autorizzato e sottrarre dati all’insaputa del loro proprietario. Una patch per risolvere il malfunzionamento sarà diffusa solamente il prossimo martedì (13 ottobre), contestualmente al rilascio di un’altra serie di aggiornamenti per alcune altre falle riscontrate nei sistemi Adobe.

I sistemi equipaggiati con Windows Vista e dotati di Data Execution Prevention non dovrebbero essere esposti alla vulnerabilità, ma Adobe suggerisce comunque di disabilitare temporaneamente le funzioni JavaScript del suo Reader e di Acrobat per ulteriore sicurezza. Escludendo tale funzione un attacco potrebbe essere ugualmente portato a termine attraverso una variante messa in campo da un utente malintenzionato, possibilità che non appare molto remota.

La vulnerabilità può essere sfruttata attraverso l’utilizzo di un file PDF appositamente modificato e contenente porzioni di codice utili per forzare l’applicativo. Una volta ottenuto l’accesso, un utente malintenzionato potrebbe eseguire codice arbitrario e controllare alcune funzionalità del sistema all’insaputa del suo possessore. Il bug sarebbe stato sfruttato per ora in una serie limitata di attacchi, ma il numero di tentativi potrebbe aumentare nel corso dei prossimi giorni in attesa della patch sviluppata per sbarrare la strada agli utenti malintenzionati. Per questo motivo Adobe si è anche attivata presso i principali produttori di sistemi antivirus per fornire maggiori informazioni, utili per inserire nelle loro librerie le specifiche per riconoscere i file PDF appositamente modificati.

La disattivazione di JavaScript non richiede particolari conoscenze tecniche ed è già stata consigliata in altre occasioni analoghe da Adobe per mettere in sicurezza i propri applicativi in attesa di una patch. Dal menu “Modifica” del programma occorre selezionare la voce “Preferenze”, attendere la comparsa di un pannello sul quale occorre selezionare la voce “JavaScript” e successivamente togliere la spunta dall’opzione “Abilita JavaScript di Acrobat” e confermare infine cliccando sul tasto “OK”.

L’aggiornamento di sicurezza sarà rilasciato da Adobe il prossimo 13 ottobre e conterrà non solo le patch per la vulnerabilità critica in Adobe Reader e Acrobat 9.1.3, ma anche correzioni per Adobe Reader 8.1.6 e Acrobat 8.1.6 per piattaforme Windows, Macintosh e Unix, Adobe Reader 7.1.3 e Acrobat 7.1.3 per Windows e Macintosh.

hexaae

Personalmente utilizzo da diversi mesi PDF-Viewer in versione free (piccola recensione a caso qui: http://www.pcself.com/programmi-gratis/programma.asp?id=172&cat=16 ) e ho dimenticato gli incubi legati ad Adobe Reader 9.x come stampe che non funzionano o ci mettono una vita, 180MB occupati su HD, pesantezza e invadenza.
PDF-Viewer l’ho provato dopo FoxIt-Reader e tutti gli altri ed è senza dubbio il migliore, ma poco conosciuto ahimé… Non gli manca nulla e permette addirittura (anche nella versione free) di modificare i documenti. Include ovviamente un plugin trasparente per FFox e IE che funziona sempre ed è (stra)ricco di funzioni.
Tutti gli ultimi Exploit e Bug critici che sono comparsi per Adobe Reader 9.x sono ovviamente assenti su PDF-Viewer.

Fatevi un favore: dimenticate le suite Adobe e usate programmi terzi migliori.