Roberto Pulito

Microsoft difende i PDF (e Adobe)

Una soluzione per tappare la falla di Acrobat: con un palliativo. Che temporaneamente risolve il problema di una DLL troppo semplice da scovare

Roma - La scorsa settimana un'allarmante comunicazione sul blog Adobe ha messo in guardia gli utenti Acrobat da un problema di sicurezza riguardante la versione Reader (9.3.4) del software dedicato ai PDF e l'applicazione completa Acrobat (9.3.4). Nell'attesa di un aggiornamento riparatore per questa insidiosa vulnerabilità, Microsoft propone intanto una palliativo dedicato alle versioni Windows del noto programma.

A quanto sembra, la vulnerabilità in questione si trova in una DLL (icucnv36.dll) caricata a un indirizzo abitudinario, pericolosamente prevedibile, che gli hacker potrebbero individuare e sfruttare a loro favore. Normalmente, l'attivazione delle funzionalità ASLR (Address Space Layout Randomization) di Windows dovrebbe bastare a proteggere da problemi di questo tipo, perché l'ASLR carica i dati utilizzando indirizzamenti random che non rivelano in quale locazione di memoria stia girando la funzione.

Per una protezione totale, Microsoft consiglia l'utilizzo del tool di sicurezza Enhanced Mitigation Experience Toolkit (EMET, un tool pensato per gestire in modo avanzato e personalizzato problematiche di sicurezza sui sistemi di Redmond) in grado di ostacolare alcuni tipi di attacco rivolto all'eseguibile AcroRd32.exe. Per raggiungere lo scopo occorre scaricare l'ultima versione di EMET (2.0.0.1) e lanciare una precisa riga di comando, pubblicata direttamente sul blog tecnico Microsoft, come Amministratore.
Ovviamente il percorso di Reader/Acrobat potrebbe essere differente nel proprio computer, rispetto alla guida visibile sul sito, specialmente se il gestore di PDF non sta girando su un sistema a 64 bit.

Roberto Pulito
Notizie collegate
59 Commenti alla Notizia Microsoft difende i PDF (e Adobe)
Ordina
  • Qualcuno mi potrebbe spiegare quale sarebbe il problema?

    c'è una falla dentro questa DLL, facendo finta che io abbia questo Adobe Reader, per sfruttarla cosa dovrei fare?
  • - Scritto da: pippo75
    > Qualcuno mi potrebbe spiegare quale sarebbe il
    > problema?
    >
    > c'è una falla dentro questa DLL, facendo finta
    > che io abbia questo Adobe Reader, per sfruttarla
    > cosa dovrei
    > fare?

    lo levi e usi un "PDF Reader"
  • - Scritto da: pippo75
    > Qualcuno mi potrebbe spiegare quale sarebbe il
    > problema?
    >
    > c'è una falla dentro questa DLL, facendo finta
    > che io abbia questo Adobe Reader, per sfruttarla
    > cosa dovrei
    > fare?

    Basta visitare una pagina web per infettarsi, se e' questo che stai chiedendo...
    non+autenticato
  • - Scritto da: pippo75
    > Qualcuno mi potrebbe spiegare quale sarebbe il
    > problema?
    >
    > c'è una falla dentro questa DLL, facendo finta
    > che io abbia questo Adobe Reader, per sfruttarla
    > cosa dovrei
    > fare?


    devi scaricare ed aprire un PDF exploit che sfrutti questa falla su Reader 9.3.4

    basta non scaricare ed aprire Pdf da siti ad capzum o presi dal p2p e non bloccare gli aggiornamnti automatici dell'antivirus ( bloccare di vostra volonta' perche' tutti gli antivirus una volta installati col loro installer sul sistema hanno lo scheduler Aconfigiurato in automatico per fare l'update delle signature quotidianamente + protezione euristica ) cosicche' anche se scaricassi ed aprissi un PDf exploit l'antimalware con la protezione in tempo reale del sistema ( cosa che fanno tutti gli antimalware su Windows) lo blocca e ti avvisa con apposita finestrella di cancellarlo

    se stai loggato al sistema con account Limitato su Xp o account Standard su Windows7 /Vista ancora meglio... poiche' nn essendo amministratore anche se fosse exploitata la vulnerabilita' con un Pdf malware appena descritto e l'antivirus nn lo rilevasse non si puo' comunque installare nessun programma esattamente come un programma malware sul sistema in kernel mode
    non+autenticato
  • - Scritto da: A.besson
    > - Scritto da: pippo75
    > > Qualcuno mi potrebbe spiegare quale sarebbe il
    > > problema?
    > >
    > > c'è una falla dentro questa DLL, facendo finta
    > > che io abbia questo Adobe Reader, per sfruttarla
    > > cosa dovrei
    > > fare?
    >
    >
    > devi scaricare ed aprire un PDF exploit che
    > sfrutti questa falla su Reader
    > 9.3.4
    >
    > basta non scaricare ed aprire Pdf da siti ad
    > capzum o presi dal p2p e non bloccare gli
    > aggiornamnti automatici dell'antivirus ( bloccare
    > di vostra volonta' perche' tutti gli antivirus
    > una volta installati col loro installer sul
    > sistema hanno lo scheduler Aconfigiurato in
    > automatico per fare l'update delle signature
    > quotidianamente + protezione euristica )
    > cosicche' anche se scaricassi ed aprissi un PDf
    > exploit l'antimalware con la protezione in tempo
    > reale del sistema ( cosa che fanno tutti gli
    > antimalware su Windows) lo blocca e ti avvisa con
    > apposita finestrella di cancellarlo
    >
    >
    > se stai loggato al sistema con account Limitato
    > su Xp o account Standard su Windows7 /Vista
    > ancora meglio... poiche' nn essendo
    > amministratore anche se fosse exploitata la
    > vulnerabilita' con un Pdf malware appena
    > descritto e l'antivirus nn lo rilevasse non si
    > puo' comunque installare nessun programma
    > esattamente come un programma malware sul
    > sistema in kernel
    > mode


    esempio: Avira Antivir Personal Free ( il migliore di tutti ) gia' rileva il pdf exploit e lo blocca

    http://techblog.avira.com/2010/09/09/new-0-day-exp.../
    non+autenticato
  • anche questa volta scopriamo che il kernen di window fa diventare fallato pure il pdf?
    ma questo non succede con altri SO, vero?
  • Qualcuno gli spieghi che si scrive kernel, grazie!
    non+autenticato
  • Succede perchè non l'hai scritto tu....
    non+autenticato
  • - Scritto da: hacher
    > anche questa volta scopriamo che il kernen di
    > window fa diventare fallato pure il
    > pdf?
    > ma questo non succede con altri SO, vero?

    ma almeno leggete prima di straparlare a vanvera come al solito

    A critical vulnerability exists in Adobe Reader 9.3.4 and earlier versions for Windows, Macintosh and UNIX, and Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh. This vulnerability (CVE-2010-2883) could cause a crash and potentially allow an attacker to take control of the affected system.


    Adobe reader 9.3.4 e' vulnerabile su tutti i sistemai non solo su Windows.

    Windows non c'entra nulla

    ve lo dico onestamente.. vivete con un affanno verso questo Windows che mai si e' visto..nemmeno vi avesse rubato la moglie

    prendete una vacanza.. liberatevi da questa agonia che vi oscura i neuroni.. solo per stare meglio con voi stessi e togliervi questo arrabattamento di cervello che vi fa stare male ..solo quello
    non+autenticato
  • >
    > Adobe reader 9.3.4 e' vulnerabile su tutti i
    > sistemai non solo su
    > Windows.
    >
    > Windows non c'entra nulla


    ah no? oops, forse non sai che su ubunto questo problema non esiste Occhiolino
    te lo dico onestamente, vivi in un affanno cercando di dimostrare che gli altri SO siano affetti da tutte le magagne di window. Lascia perdere che è tempo sprecato


    > prendete una vacanza.. liberatevi da questa
    > agonia che vi oscura i neuroni.. solo per stare
    > meglio con voi stessi e togliervi questo
    > arrabattamento di cervello che vi fa stare male
    > ..solo
    > quello

    saggio consiglio, rilassati e approfittane Occhiolino
    -----------------------------------------------------------
    Modificato dall' autore il 16 settembre 2010 10.54
    -----------------------------------------------------------
  • - Scritto da: hacher
    > >
    > > Adobe reader 9.3.4 e' vulnerabile su tutti i
    > > sistemai non solo su
    > > Windows.
    > >
    > > Windows non c'entra nulla
    >
    >
    > ah no? oops, forse non sai che su ubunto questo
    > problema non esiste
    > Occhiolino
    > te lo dico onestamente, vivi in un affanno
    > cercando di dimostrare che gli altri SO siano
    > affetti da tutte le magagne di window. Lascia
    > perdere che è tempo
    > sprecato
    >
    >
    > > prendete una vacanza.. liberatevi da questa
    > > agonia che vi oscura i neuroni.. solo per stare
    > > meglio con voi stessi e togliervi questo
    > > arrabattamento di cervello che vi fa stare male
    > > ..solo
    > > quello
    >
    > saggio consiglio, rilassati e approfittane Occhiolino
    > --------------------------------------------------

    > Modificato dall' autore il 16 settembre 2010 10.54
    > --------------------------------------------------


    quindi Adobe scrive che il Reader e' bacato non solo per Windows ma anche per Osx & Unix ..e tu invece paventi che lo e' solo per Windows

    vai in California a lavorare per Adobe.. o Apple o Microsoft..insegna tu a loro come si programma..

    auhaauhau
    non+autenticato
  • >
    > vai in California a lavorare per Adobe.. o Apple o Microsoft..insegna tu > a loro come si programma..
    >

    caro, non devo prendertela con me se una falla ha conseguenze catastrofiche su un SO ciofeca mentre su altri no.
  • - Scritto da: hacher
    > >
    > > vai in California a lavorare per Adobe.. o
    > Apple o Microsoft..insegna tu > a loro come si
    > programma..
    > >
    >
    > caro, non devo prendertela con me se una falla ha
    > conseguenze catastrofiche su un SO ciofeca mentre
    > su altri
    > no.


    si si "catastrofiche" ... COME NO

    http://punto-informatico.it/b.aspx?i=2989796&m=299...

    http://punto-informatico.it/b.aspx?i=2989796&m=299...

    se non ve ne intendete di informatica e sicurezza dato non specificate niente nel tecnico ma parlate solo ad capzum , meglio tacere che fate piu' bella figura...a fare solo i ciceroni non ne guadagnate in immagine..ma solo in pagliacciaggine ( ti ho fatto anche la rima)
    non+autenticato
  • seguendo i tuoi link mi pare chiaro che ammetti e confermi che con window x navigare bisogna fare attenzione. Non aprire qua, non andare la, attento a tenere aggiornato l'antivirus, fai attenzione a quello, fai attenzione a questo. Beh, un SO ciofeca x esperti del tuo calibro. Invece noi poveri peones a digiuno di conoscenze compiuteristiche installiamo ubunto e lo usiamo, semplicemente. Occhiolino

    adesso non voglio demoralizzarti con una notizia che smentisce tutte le tue convinzioni in fatto di sicurezza ma, se fosse così semplice difendersi dai virus come mai succede questo?
    "I report provenienti da varie fonti segnalano la presenza della nuova minaccia sui sistemi di Google, il network televisivo ABC/Disney, Coca-Cola, NASA e altrove."
    preso da :
    http://punto-informatico.it/2987851/PI/News/worm-r...
    forse i gestori compiuteristici di queste ditte non hanno capito i tuoi preziosi consigli? ah ah ah ah ah ah ah
  • - Scritto da: hacher
    > seguendo i tuoi link mi pare chiaro che ammetti e
    > confermi che con window x navigare bisogna fare
    > attenzione. Non aprire qua, non andare la,
    > attento a tenere aggiornato l'antivirus, fai
    > attenzione a quello, fai attenzione a questo.
    > Beh, un SO ciofeca x esperti del tuo calibro.
    > Invece noi poveri peones a digiuno di conoscenze
    > compiuteristiche installiamo ubunto e lo usiamo,
    > semplicemente.
    > Occhiolino
    >
    > adesso non voglio demoralizzarti con una notizia
    > che smentisce tutte le tue convinzioni in fatto
    > di sicurezza ma, se fosse così semplice
    > difendersi dai virus come mai succede
    > questo?
    > "I report provenienti da varie fonti segnalano la
    > presenza della nuova minaccia sui sistemi di
    > Google, il network televisivo ABC/Disney,
    > Coca-Cola, NASA e
    > altrove."
    > preso da :
    > http://punto-informatico.it/2987851/PI/News/worm-r
    > forse i gestori compiuteristici di queste ditte
    > non hanno capito i tuoi preziosi consigli? ah ah
    > ah ah ah ah
    > ah

    tenere aggiornato l'antivirus quando l'antivirus si tiene aggiornate le firme da solo con lo scheduler AUTOMATICO e quindi nn si deve tenere aggiornato ricordandosi di farlo a mano niente di niente ...??

    ma tu leggi cosa si scrive nei link o scrivi solo perche' ti hanno messo davanti una distro elementare e la connessione Adsl?

    se quelli in quelle aziende che hai citato erano loggati sui computers client con account Administrator e non Limitati + hanno abboccato a scaricare DI LORO VOLONTA'( sociale engineering) UN FILE PDF DALLA rete partendo da un link in una email che poi e' invece un file .scr malevolo e che il tonto di turno ha pure eseguito di sua volonta' dopo averlo sempre di sua volonta' scaricato   ...che cambino lavoro i Sys admin di chi gestisce quei computers in mano a cani e porci nella lan ...e vadano a fare i burattinai

    ahauaha


    ma smettetela ...prima di parlare usate il cervello per capire la logica di come funzionano le cose E QUINDI PERCHE' ACCADONO   ..poi e solo poi parlate
    non+autenticato
  • prendo atto con piacere che tu sei + esperto degli amministratori di coca cola e nasa. Probabilmente se sfoggi meglio le tue emormi conoscenze compiuteristche diventi miglionario. Occhiolino
  • "Per raggiungere lo scopo occorre scaricare l'ultima versione di EMET (2.0.0.1) e lanciare una precisa riga di comando, pubblicata direttamente sul blog tecnico Microsoft, come Amministratore."

    Chi e' che diceva qui che linux e' un sistema per smanettoni?

    Facciamo un giochetto: vediamo chi e' capace di trovare il blog tecnico di cui si parla e postare qui la riga di comando.
    Non deve essere difficile per un utonto.

    Io non ci sono mica riuscito.
  • - Scritto da: panda rossa

    > Io non ci sono mica riuscito.

    Trovata!

    La riporto copiaincollata: buone risate.

    C:\Program Files (x86)\EMET>emet_conf.exe --add "c:\program files (x86)\Adobe\Reader 9.0\Reader\acrord32.exe"
  • - Scritto da: panda rossa
    > - Scritto da: panda rossa
    >
    > > Io non ci sono mica riuscito.
    >
    > Trovata!
    >
    > La riporto copiaincollata: buone risate.
    >
    > C:\Program Files (x86)\EMET>emet_conf.exe --add
    > "c:\program files (x86)\Adobe\Reader
    > 9.0\Reader\acrord32.exe"

    Ma se hai un unico PC puoi usare l'interfaccia grafica di EMET: lanci EMET, premi il pulsante Configure Apps, compare la lista delle applicazioni, premi il pulsante Add, sfogli il disco fino a trovare il programma, premi OK.

    La linea comando serve agli amministratori di tanti PC Windows (lo so che è difficile da capire per chi usa Linux: non ci sono tanti PC con Linux Occhiolino ).
    non+autenticato
  • - Scritto da: Zucca Vuota
    > - Scritto da: panda rossa
    > > - Scritto da: panda rossa
    > >
    > > > Io non ci sono mica riuscito.
    > >
    > > Trovata!
    > >
    > > La riporto copiaincollata: buone risate.
    > >
    > > C:\Program Files (x86)\EMET>emet_conf.exe --add
    > > "c:\program files (x86)\Adobe\Reader
    > > 9.0\Reader\acrord32.exe"
    >
    > Ma se hai un unico PC puoi usare l'interfaccia
    > grafica di EMET: lanci EMET, premi il pulsante
    > Configure Apps, compare la lista delle
    > applicazioni, premi il pulsante Add, sfogli il
    > disco fino a trovare il programma, premi OK.
    >
    >
    > La linea comando serve agli amministratori di
    > tanti PC Windows (lo so che è difficile da capire
    > per chi usa Linux: non ci sono tanti PC con Linux
    > Occhiolino
    > ).

    Boh... io ho letto l'articolo e l'articolo dice di digitare e pure la pagina che ho trovato col comando dice di digitare (altrimenti non l'avrei trovata).
  • appunto informati un pò prima di parlare...
    non+autenticato
  • - Scritto da: pippalo
    > appunto informati un pò prima di parlare...

    Mi sono ben informato.
    Ho letto l'articolo di PI, sono andato a cercare nel forum citato e ho trovato conferma.

    Solo qui trovo che le cose non stavano cosi'.
    Purtroppo non posso fare una verifica personalmente, perche' mi manca sia il sistema operativo sia l'applicativo bacato.

    C'e' qualcuno di voi winari cosi' masochista da usare ancora Acrobat Reader che puo' verificare la presenza di una interfaccia clicca clicca?
  • - Scritto da: panda rossa

    > C'e' qualcuno di voi winari cosi' masochista da
    > usare ancora Acrobat Reader che puo' verificare
    > la presenza di una interfaccia clicca
    > clicca?

    Mi metto il cappello da Winaro e quindi posso dirti che ciò che ho scritto è stato verificato personalmente sul mio PC con WIndows 7 x64, l'EMET in questione e AdobeReader.
    non+autenticato
  • - Scritto da: Zucca Vuota
    > - Scritto da: panda rossa
    >
    > > C'e' qualcuno di voi winari cosi' masochista da
    > > usare ancora Acrobat Reader che puo' verificare
    > > la presenza di una interfaccia clicca
    > > clicca?
    >
    > Mi metto il cappello da Winaro e quindi posso
    > dirti che ciò che ho scritto è stato verificato
    > personalmente sul mio PC con WIndows 7 x64,
    > l'EMET in questione e
    > AdobeReader.

    Prendiamo atto.
    Chi e' che avvisa la redazione che e' possibile effettuare la patch con un piu' pratico clicca clicca?
  • Io su Windows non uso neanche Adobe ReaderSorride
    H5N1
    1641
  • Forse la differenza pratica tra i due sistemi è che con windows puoi essere utonto o smanettone, con linux se non sai dove mettere le mani non vai avanti.

    bye
    non+autenticato
  • - Scritto da: Francesco
    > Forse la differenza pratica tra i due sistemi è
    > che con windows puoi essere utonto o smanettone,
    > con linux se non sai dove mettere le mani non vai
    > avanti.
    >
    > bye

    Che strano, ho sempre pensato il contrario. Ho un dual boott. Con window dopo l'installazione ho dovuto mettere l'antivirus, e mettere open office oltre che 7zipp. Quando lo accendo devo preoccuparmi che l'anti virus si aggiorni. Dopo un po devo deframmentare, passare con un antimalware.
    Con ubunto, dopo l'installazione l'ho semplicemente usato Occhiolino