Adobe Reader, grave bug su Android

Un ricercatore di sicurezza, Yorick Koster, ha scoperto una grave vulnerabilità in Adobe Reader per Android che potrebbe consentire ad un malintenzionato di accedere ai file memorizzati sulla card SD del dispositivo. Fortunatamente, l’azienda statunitense ha corretto velocemente il bug, rilasciando una nuova versione dell’app. Gli utenti che leggono documenti PDF sul proprio device devono quindi installare l’aggiornamento al più presto.

L’avviso di sicurezza pubblicato da Adobe specifica solo che Adobe Reader 11.2 risolve una vulnerabilità nell’implementazione delle API JavaScript che potrebbe essere sfruttata per eseguire codice remoto. Il ricercatore ha spiegato in dettaglio che l’app espone diverse interfacce JavaScript insicure, consentendo ad un malintenzionato di sfruttare la falla quando l’utente apre un file PDF infetto. È chiaro che l’exploit ha successo solo se viene aperto il documento. Quindi dovrebbe essere sufficiente evitare PDF sospetti presenti in una pagina web o ricevuti come allegati di posta.

Nel caso in cui l’utente non presta attenzione, aprendo il file viene eseguito un codice Java che permette di leggere il contenuto della memory card SD. Adobe ha verificato che il bug è presente nella versione 11.1.3 e precedenti. L’installazione di Adobe Reader 11.2, disponibile gratuitamente sul Google Play Store, mette al riparo gli utenti da qualsiasi tentativo di attacco.

La release 11.2 introduce anche nuove funzionalità, come la visualizzazione a due pagine sui tablet, il supporto per i bookmark aggiunti dall’utente e la possibilità di telefonare direttamente con un tap sui numeri presenti nel documento PDF.