Adobe rilascia Acrobat Reader 7.0.9 e risolve tutte le vulnerabilità

dgenerated · 01-11-2007, 17:51

Arriva oggi la nuova versione di Adobe Acrobat Reader, immune ai vari problemi di sicurezza messi a nudo nei giorni scorsi. Sebbene l'ottava versione del software per la lettura dei file in formato PDF fosse sicura, sino ad oggi tutti gli utenti delle versioni precedente la 7.0.9, appena rilasciata, erano esposti a rischi.
Acrobat Reader 7.0.9, disponibile anche in italiano, integra le patch correttive per diverse vulnerabilitÃ* tra le quali vi sono quelle scoperte dagli italiani Stefano Di Paola, Giorgio Fedon ed Elia Florio. I tre esperti di sicurezza avevano illustrato come tutti gli utenti di Acrobat Reader (fatta eccezione per coloro che avevano scelto di installare la versione 8.0) fossero esposti ad attacchi "cross site scripting".
Il componente interessato dalla vulnerabilitÃ* Ã¨ l'Adobe Acrobat Reader Plugin nelle versioni 7.0.8 e precedenti. I problemi di sicurezza possono avere un impatto differente a seconda della versione del browser che l'utente utilizza (ad esempio, Firefox od Internet Explorer).
Le vulnerabilitÃ* scoperte nel plugin di Acrobat Reader potrebbero aprire la strada ad attacchi di tipo "Universal cross site scripting" (UXSS). Con la dizione "cross site scripting" (XSS) si definisce infatti una tipologia di attacco che generalmente viene portata a termine sfruttando una vulnerabilitÃ* di una "web application". L'aggressore inserisce del codice arbitrario come input di una web application in modo da modificarne il comportamento. A questo punto l'aggressore puÃ² preparare un URL "ad hoc" ed inviarlo ad un ignaro utente. Quest'ultimo si sentirÃ* sicuro poichÃ© gli sembrerÃ* di utilizzare i servizi messi a disposizione dal sito web vulnerabile.
In questo caso, invece, si ha a che fare con problematiche residenti nei componenti lato client (coppia browser, plugin Acrobat Reader) e non legate ad un sito web.
Un aggressore remoto potrebbe quindi sfruttare l'ampia diffusione del plug-in di Adobe per condurre attacchi UXSS con la possibilitÃ* di eseguire codice javascript sulla macchina vittima e sfruttare le enormi potenzialitÃ* della tecnologia AJAX per far danni.
Acrobat Reader 7.0.9 risolve perÃ² anche un'altra importante vulnerabilitÃ*, segnalata ad Adobe giÃ* nel mese di Settembre 2006. Un aggressore remoto potrebbe essere in grado di eseguire codice maligno sul sistema vulnerabile "confezionando" un file PDF maligno, preparato "ad arte" per sfruttare la falla di sicurezza. Anche questa lacuna Ã¨ da considerarsi ovviamente estremamente critica vista l'elevatissima diffusione dei file in formato PDF e la fiducia che generalmente l'utente tende ad accordare in questo tipo di file.
Chi preferisse non aggiornarsi alla versione 8.0 di Acrobat Reader che, tra l'altro, non Ã¨ al momento ancora disponibile in lingua italiana, puÃ² quindi installare subito Acrobat Reader 7.0.9 per evitare di correre qualunque rischio.
Il prodotto, in italiano, puÃ² essere prelevato facendo riferimento [Solo gli utenti registrati possono visualizzare tutti i links]
od [Solo gli utenti registrati possono visualizzare tutti i links]

Dato che tutte le vulnerabilitÃ* di sicurezza conosciute sono state risolte, Secunia classifica ora (ved. [Solo gli utenti registrati possono visualizzare tutti i links]
) l'uso di Acrobat Reader 7.0.9 come pienamente sicuro.
[Solo gli utenti registrati possono visualizzare tutti i links]

01-11-2007, 17:51	#1
dgenerated Major Master of Software Webmaster Senior Data registrazione: Dec 2005 Residenza: Università della Pizza Messaggi: 4,220	Adobe rilascia Acrobat Reader 7.0.9 e risolve tutte le vulnerabilità Arriva oggi la nuova versione di Adobe Acrobat Reader, immune ai vari problemi di sicurezza messi a nudo nei giorni scorsi. Sebbene l'ottava versione del software per la lettura dei file in formato PDF fosse sicura, sino ad oggi tutti gli utenti delle versioni precedente la 7.0.9, appena rilasciata, erano esposti a rischi. Acrobat Reader 7.0.9, disponibile anche in italiano, integra le patch correttive per diverse vulnerabilitÃ* tra le quali vi sono quelle scoperte dagli italiani Stefano Di Paola, Giorgio Fedon ed Elia Florio. I tre esperti di sicurezza avevano illustrato come tutti gli utenti di Acrobat Reader (fatta eccezione per coloro che avevano scelto di installare la versione 8.0) fossero esposti ad attacchi "cross site scripting". Il componente interessato dalla vulnerabilitÃ* Ã¨ l'Adobe Acrobat Reader Plugin nelle versioni 7.0.8 e precedenti. I problemi di sicurezza possono avere un impatto differente a seconda della versione del browser che l'utente utilizza (ad esempio, Firefox od Internet Explorer). Le vulnerabilitÃ* scoperte nel plugin di Acrobat Reader potrebbero aprire la strada ad attacchi di tipo "Universal cross site scripting" (UXSS). Con la dizione "cross site scripting" (XSS) si definisce infatti una tipologia di attacco che generalmente viene portata a termine sfruttando una vulnerabilitÃ* di una "web application". L'aggressore inserisce del codice arbitrario come input di una web application in modo da modificarne il comportamento. A questo punto l'aggressore puÃ² preparare un URL "ad hoc" ed inviarlo ad un ignaro utente. Quest'ultimo si sentirÃ* sicuro poichÃ© gli sembrerÃ* di utilizzare i servizi messi a disposizione dal sito web vulnerabile. In questo caso, invece, si ha a che fare con problematiche residenti nei componenti lato client (coppia browser, plugin Acrobat Reader) e non legate ad un sito web. Un aggressore remoto potrebbe quindi sfruttare l'ampia diffusione del plug-in di Adobe per condurre attacchi UXSS con la possibilitÃ* di eseguire codice javascript sulla macchina vittima e sfruttare le enormi potenzialitÃ* della tecnologia AJAX per far danni. Acrobat Reader 7.0.9 risolve perÃ² anche un'altra importante vulnerabilitÃ, segnalata ad Adobe giÃ nel mese di Settembre 2006. Un aggressore remoto potrebbe essere in grado di eseguire codice maligno sul sistema vulnerabile "confezionando" un file PDF maligno, preparato "ad arte" per sfruttare la falla di sicurezza. Anche questa lacuna Ã¨ da considerarsi ovviamente estremamente critica vista l'elevatissima diffusione dei file in formato PDF e la fiducia che generalmente l'utente tende ad accordare in questo tipo di file. Chi preferisse non aggiornarsi alla versione 8.0 di Acrobat Reader che, tra l'altro, non Ã¨ al momento ancora disponibile in lingua italiana, puÃ² quindi installare subito Acrobat Reader 7.0.9 per evitare di correre qualunque rischio. Il prodotto, in italiano, puÃ² essere prelevato facendo riferimento [Solo gli utenti registrati possono visualizzare tutti i links] od [Solo gli utenti registrati possono visualizzare tutti i links] Dato che tutte le vulnerabilitÃ* di sicurezza conosciute sono state risolte, Secunia classifica ora (ved. [Solo gli utenti registrati possono visualizzare tutti i links] ) l'uso di Acrobat Reader 7.0.9 come pienamente sicuro. [Solo gli utenti registrati possono visualizzare tutti i links] __________________

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail
Modalità visualizzazione
Modalità lineare Modalità ibrida Modalità elencata