PDF a rischio exploit anche senza doppio click

La falla critica ‘CVE-2009-0658‘ comunicata da Adobe il 19 febbraio e riguardante Adobe Reader 9 e Acrobat 9 (e precedenti versioni), la cui patch non verrà rilasciata prima del giorno 11 marzo, assume una valenza ancora più critica da quando il ricercatore informatico Didier Stevens ha esposto le sue ultime scoperte in merito all’interno del suo blog. L’apertura dei file PDF non sarebbe infatti un prerequisito indispensabile per mettere a repentaglio la sicurezza del proprio sistema, ma sarebbe sufficiente selezionare il documento con un click o visualizzare la sua anteprima.

Come illustrato da Stevens all’interno del suo post, Adobe Reader si integra in Windows Explorer permettendo così al programma di leggere i metadati contenuti nei file PDF; ciò sarebbe possibile grazie all’utilizzo delle cosiddette “Windows Explorer Shell Extensions”, incaricate di visualizzare all’interno delle normali finestre del sistema operativo informazioni addizionali relative ai file di cui si è selezionata la miniatura. La semplice operazione di selezionare un file PDF comporterebbe così la lettura di informazioni extra sul documento e la conseguente esecuzione di codice maligno in grado di sfruttare la vulnerabilità in questione.

Stevens porta all’attenzione tre differenti situazioni nelle quali la “PDF Shell Extension” sarebbe in grado di sfruttare la falla incriminata, il tutto senza alcun avviso da parte di Windows Explorer: la semplice selezione di un documento tramite singolo click del mouse, l’utilizzo della modalità Anteprima per visualizzare le icone e il semplice sostare del mouse su di un documento PDF.

Si tratterebbe in concreto di operazioni in grado di accedere in qualche modo ai file, seppure in maniera implicita, allo scopo di attingere ai metadati in essi contenuti, operazione comunque sufficiente ad aprire un varco verso la vulnerabilità segnalata da Adobe. È quindi bene «essere molto attenti nel caso si debbano gestire file potenzialmente malevoli», raccomanda Stevens nel suo post; «il loro codice potrebbe essere eseguito inavvertitamente anche senza fare un doppio click sui file».

Stando alle dichiarazioni di Adobe, la patch ufficiale per Adobe Reader e Acrobat 9 dovrebbe essere resa disponibile il giorno 11 marzo, mentre i correttivi per le versioni 7 e 8 dei programmi dovrebbero essere rilasciati il giorno 18 marzo. Nel frattempo è possibile aggirare la vulnerabilità installando nel sistema la patch non ufficiale realizzata da Lurene Grenier oppure prendere in considerazione la più drastica sostituzione del lettore PDF con una delle numerose alternative a disposizione, tra cui l’ottimo Foxit Reader.