Roberto Pulito

Per un PDF bucato

Una comunicazione sul blog Adobe mette in guardia gli utenti: c'è una nuova falla in Acrobat. E si sta lavorando a una patch

Roma - Non c'è pace per il software specializzato nella gestione dei documenti PDF. Adobe ha segnalato alcune nuove e insidiose vulnerabilità che potrebbero causare un crash improvviso o addirittura essere sfruttate dai malintenzionati per assicurarsi il controllo del sistema su cui Acrobat è installato.

Il nuovo bug, già utilizzato in alcuni attacchi sul campo, riguarda il semplice visualizzatore di PDF Adobe Reader 9.3.4 per Windows, Mac e Unix, ma anche l'applicazione Adobe Acrobat 9.3.4 Windows e Mac. Non sono escluse dal pericolo neppure le versioni meno aggiornate del programma.

Tramite il blog ufficiale, Adobe specifica anche che una patch di emergenza verrà pubblicata a breve, anticipando gli aggiornamenti di sicurezza già in calendario. Nel corso del 2010 la società ha aumentato in maniera impressionante la frequenza di update mirati proprio a contrastare malware e malintenzionati.
Roberto Pulito
Notizie collegate
23 Commenti alla Notizia Per un PDF bucato
Ordina
  • okular legge piuttosto bene il formato
    non+autenticato
  • cioe' ma siamo scemi alla fine e' un visualizzatore di immagini e testi, deve per forza eseguire codice dentro?

    alla Adobe so di fuori
  • Stamattina l'ho aggiornato perché non ne potevo più di vedere quel popup.
    Mi ha fatto riavviare il PC.
    No, ma qualcosa non torna: sei un reader, non sei un antivirus o un componente di sistema!
    Tu non DEVI aver bisogno di un reboot per funzionare!!!
    Purtroppo è il PC aziendale e non posso defenestrarlo -.-"
  • Se ha aggiornato un componente che si carica all'avvio hanno comodamente (per loro) scelto il riavvio completo del PC.
    Tanto tra un po' ne arriva un altro (di bachi)
    non+autenticato
  • - Scritto da: Valeren
    > Stamattina l'ho aggiornato perché non ne potevo
    > più di vedere quel
    > popup.
    > Mi ha fatto riavviare il PC.
    > No, ma qualcosa non torna: sei un reader, non sei
    > un antivirus o un componente di
    > sistema!
    > Tu non DEVI aver bisogno di un reboot per
    > funzionare!!!

    Ma guarda, un reader di PDF non dovrebbe neanche aver bisogno di essere "installato"... figuriamoci un reboot. Acrobat Reader e' pura SPAZZATURA.
    non+autenticato
  • Alla fine non è solo un visualizzatore: è possibile editare documenti e salvare documenti se creati appositamente da chi fa il documento. Si può eseguire oggetti in java/flash che possono essere incorporati nei documenti. Ad esempio io ho scaricato i documenti per richiedere il passaporto ed erano compilabili direttamente dal reader per poi stamparli direttamente.
    non+autenticato
  • - Scritto da: ptr
    > Alla fine non è solo un visualizzatore: è
    > possibile editare documenti e salvare documenti
    > se creati appositamente da chi fa il documento.
    > Si può eseguire oggetti in java/flash che possono
    > essere incorporati nei documenti. Ad esempio io
    > ho scaricato i documenti per richiedere il
    > passaporto ed erano compilabili direttamente dal
    > reader per poi stamparli
    > direttamente.

    e' proprio questo il problemaA bocca aperta
  • In realtà, questo è solo l'inizio del problema.

    Per rendersi conto di come Adobe concepisca il Reader, bisogna esaminare un po' il loro prodotto server, Livecycle: il Reader è solo il client lato utente di un sistema di gestione di dati e documenti che scambia informazioni con un server in una o più modalità, tra cui posta elettronica, XML o PDF finito.

    Insomma, il file PDF finisce per essere una applicazione completa, che il Reader ha il compito di eseguire.

    Qualcosa che ricorda Oracle Forms e Report insieme.
    non+autenticato
  • non parlarmi delle oracle oapps che seno' mi sturboA bocca aperta
  • Gli hacker le falle le cercano e si accaniscono a trovalre su Adobe Reader perche' questo e' il PDF reader piu' usanto nel mondo in mano alla massa che usa il computer

    se il PDf reader piu' usato dalla massa fosse ad esempio Foxit gli Hacker si concentrerebbero ed accanirebbero a cercare falle di sicurezza su Foxit...e cosi' via sugli altri Pdf reader

    non esiste software privo di vulnerabilita' da sfruttare nel codice essendo tutto il software e sistemi operativi esistenti sulla faccia della terra compilati da esseri umani non da extraterrestri con tecnologie 100 volte superiori agli umani

    a leggere cosa scrivete si legge l'apoteosi del ridicolo
    non+autenticato
  • Nessuno nega che la diffusione sia determinante per la sicurezza di un software ma nel caso di adobe, invece, sorge qualche dubbio, fondato o meno che sia.

    Ad esempio guardando sulla pagina di download http://get.adobe.com/it/reader/, si tratta di 25,58 MB per l'installer della versione windows (quella linux addirittura arriva a 49,9 MB!); ora i casi sono 2:

    a) nel reader ci sono un botto di strumenti, utilities,
       software di terze parti, ecc...

    b) adobe reader è stato scritto con il culo

    Quantunque si trattasse semplicemente del caso "a)" forse adobe dovrebbe rivedere la definizione di "Reader" prima di rilasciare una nuova versione
    -----------------------------------------------------------
    Modificato dall' autore il 10 settembre 2010 11.12
    -----------------------------------------------------------
  • - Scritto da: luisito
    > Nessuno nega che la diffusione sia determinante
    > per la sicurezza di un software ma nel caso di
    > adobe, invece, sorge qualche dubbio, fondato o
    > meno che
    > sia.
    >
    > Ad esempio guardando sulla pagina di download
    > http://get.adobe.com/it/reader/, si tratta di
    > 25,58 MB per l'installer della versione windows
    > (quella linux addirittura arriva a 49,9 MB!); ora
    > i casi sono
    > 2:
    >
    > a) nel reader ci sono un botto di strumenti,
    > utilities,
    >
    >    software di terze parti, ecc...
    >
    > b) adobe reader è stato scritto con il culo
    >
    > Quantunque si trattasse semplicemente del caso
    > "a)" forse adobe dovrebbe rivedere la definizione
    > di "Reader" prima di rilasciare una nuova
    > versione
    > --------------------------------------------------
    > Modificato dall' autore il 10 settembre 2010 11.12
    > --------------------------------------------------


    Adobe Reader fa cose che gli altri reader sui Pdf non fanno

    in un PDF puoi incorporare contenuti Flash ,javascrip ,password e molto altro ...cose che gli altri reader non hanno e nn fanno/leggono

    sono scarsi reader Pdf che leggono solo PDF elementari senza tutte le funzionalita' che ha il vero Pdf & Reader di Adobe..
    non+autenticato
  • - Scritto da: A.Besson
    > Adobe Reader fa cose che gli altri reader sui Pdf
    > non
    > fanno

    Confermiamo il caso "a)" quindi

    > in un PDF puoi incorporare contenuti Flash
    > ,javascrip ,password e molto altro ...cose che
    > gli altri reader non hanno e nn fanno/leggono

    Oh bella, e che ci devi fare con tutto 'sto popò di roba in un pdf?

    > sono scarsi reader Pdf che leggono solo PDF
    > elementari senza tutte le funzionalita' che ha il
    > vero Pdf & Reader di
    > Adobe..

    Praticamente hanno creato un reader che esegue codice?

    Allora è vero anche il caso "b)"

    JACKPOT!A bocca aperta
    -----------------------------------------------------------
    Modificato dall' autore il 10 settembre 2010 11.59
    -----------------------------------------------------------
  • - Scritto da: A.Besson
    > - Scritto da: luisito
    > > Nessuno nega che la diffusione sia determinante
    > > per la sicurezza di un software ma nel caso di
    > > adobe, invece, sorge qualche dubbio, fondato o
    > > meno che
    > > sia.
    > >
    > > Ad esempio guardando sulla pagina di download
    > > http://get.adobe.com/it/reader/, si tratta di
    > > 25,58 MB per l'installer della versione windows
    > > (quella linux addirittura arriva a 49,9 MB!);
    > ora
    > > i casi sono
    > > 2:
    > >
    > > a) nel reader ci sono un botto di strumenti,
    > > utilities,
    > >
    > >    software di terze parti, ecc...
    > >
    > > b) adobe reader è stato scritto con il culo
    > >
    > > Quantunque si trattasse semplicemente del caso
    > > "a)" forse adobe dovrebbe rivedere la
    > definizione
    > > di "Reader" prima di rilasciare una nuova
    > > versione
    > >
    > --------------------------------------------------
    > > Modificato dall' autore il 10 settembre 2010
    > 11.12
    > >
    > --------------------------------------------------
    >
    >
    > Adobe Reader fa cose che gli altri reader sui Pdf
    > non
    > fanno
    >
    > in un PDF puoi incorporare contenuti Flash
    > ,javascrip ,password e molto altro ...cose che
    > gli altri reader non hanno e nn fanno/leggono

    Ma chi cazzo le vuole!
    non+autenticato
  • - Scritto da: ma per favore
    > - Scritto da: A.Besson
    > > - Scritto da: luisito

    >
    > Ma chi cazzo le vuole!


    hanno chiesto perche' il reader di Adobe e' piu' ingombrante in Megabytes e perche' gli Hacker ci si accaniscono sopra cosi' per scovargli vulnerabilita' ..ho risposto!!!

    che poi i PDF exploit che la gente eventualmente scarica da siti ad capzum insicuri o dal p2p sono sempre intercettati dalla protezione permanente degli antivirus anche solo tramite euristica e nn solo con le firme ..

    se non lo vuoi non usarlo !!!
    non+autenticato
  • - Scritto da: A.Besson
    > in un PDF puoi incorporare contenuti Flash
    > ,javascrip ,password e molto altro ...cose che
    > gli altri reader non hanno e nn fanno/leggono

    Tutta roba che serve a poco o niente, e apre autostrade di bug ai malintenzionati.

    > sono scarsi reader Pdf che leggono solo PDF
    > elementari senza tutte le funzionalita' che ha il
    > vero Pdf & Reader di
    > Adobe..

    "vero" LOL
    noi ci teniamo i lettori che fanno esclusivamente il loro lavoro senza cretinate aggiunte e senza problemi di sicurezza
    non+autenticato
  • - Scritto da: A.Besson
    > Gli hacker le falle le cercano e si accaniscono a
    > trovalre su Adobe Reader perche' questo e' il
    > PDF reader piu' usanto nel mondo in mano alla
    > massa che usa il
    > computer
    >
    > se il PDf reader piu' usato dalla massa fosse ad
    > esempio Foxit gli Hacker si concentrerebbero ed
    > accanirebbero a cercare falle di sicurezza su
    > Foxit...e cosi' via sugli altri Pdf reader

    Sempre il solito discorso, mai provato in pratica.

    > non esiste software privo di vulnerabilita' da
    > sfruttare nel codice essendo tutto il software e
    > sistemi operativi esistenti sulla faccia della
    > terra compilati da esseri umani non da
    > extraterrestri con tecnologie 100 volte superiori
    > agli
    > umani

    Resta il fatto che Adobe fa prodotti pessimi

    > a leggere cosa scrivete si legge l'apoteosi del
    > ridicolo

    Tu stai più in alto dell'apoteosiA bocca aperta
    non+autenticato
  • Il vero problema, e' che non c'e' un sostituto decente. Spessissmo, cambia l'impaginazione ed altre cosette.
    Un esempio sono i moduli inps. Possono essere editati solo e soltanto con adobe reader.
    Sono anche abbonato a Linux Journal in versione pdf. Non ha la stessa resa con i vari evince kpdf e chi piu' ne ha' piu' ne metta.
    La soluzione secondo me sarebbe farglielo rilasciare sotto gpl 3, ma Adobe da quell'orecchio non ci sente o non ci vuole sentire...
    non+autenticato
  • versione 10 del reader con sandbox integrata, non se ne può più di critical bug da parte di adobe!!!!
    non+autenticato
  • Ma ci sono decine di reader pdf: se adobe non ti piace, perchè ti ostini a usarlo e pretendi che lo modifichino? Usane un altro!
    non+autenticato
  • - Scritto da: gaglioffo
    > versione 10 del reader con sandbox integrata, non
    > se ne può più di critical bug da parte di
    > adobe!!!!

    Ma te lo ordina il medico a continuare ad usare quel cadavere di reader?
  • la domanda è piuttosto un'altra ovvero: "sei pazzo ad usare ancora quel cadavere di reader?"

    poi si lamentano che i software sono insicuri, quando di fronte ad un software palesemente insicuro continuano ad usarlo

    beh, effettivamente continuano ad usare pure wingroviera Rotola dal ridere
    non+autenticato
  • - Scritto da: gaglioffo
    > versione 10 del reader con sandbox integrata

    Eh si' certo... chissa' che mer(d)aviglia sara' la versione 10, vista la qualita' delle ultime versioni... c'e' proprio da fidarsi eh?
    non+autenticato