Alfonso Maruccia

Adobe Reader, la falla oltre la sandbox

Il popolare lettore di documenti PDF sarebbe affetto da una vulnerabilità zero-day per cui è già in circolazione (a caro prezzo) un exploit funzionante. A rischio tutti i browser tranne Chrome, Adobe indaga

Roma - A breve distanza dalla pubblicazione di una patch contro le falle di Flash, Adobe torna nel mirino di cracker e cyber-criminali con una nuova vulnerabilità zero-day presumibilmente presente in Reader: il lettore di documenti PDF più popolare sarebbe "bucabile" nonostante le misure di sicurezza aggiuntive recentemente introdotte dalla software house statunitense.

A dare notizia dell'esistenza della falla sono i ricercatori di Group-IB: la nuova vulnerabilità affligge le ultime versioni di Reader (X e il recentemente introdotto XI), dicono gli esperti moscoviti, è in grado di bypassare la sandbox di protezione del software (implementata a partire da Reader X) e permette l'esecuzione di codice potenzialmente malevolo persino nel caso in cui sia disabilitato il caricamento di codice JavaScript durante il rendering dei documenti PDF.


Per quanto riguarda la vulnerabilità per i vari browser per cui esistono plug-in di Reader, sostengono da Group-IB, Firefox e Internet Explorer risultano potenzialmente a rischio mentre le misure di sicurezza aggiuntive di Chrome bloccano il funzionamento dell'exploit.
Il codice capace di sfruttare la falla viene attualmente venduto sul mercato nero a un prezzo che arriva fino a 50mila dollari, dicono i ricercatori, ed è già stato inserito in una versione "custom" del celebre kit di exploit noto come Blackhole.

E Adobe? La casa di Acrobat e Photoshop dice di aver tentato di contattare il gruppo russo per conoscere i dettagli della falla, ma al momento non ha ricevuto risposta. Il monitoraggio sullo "scenario delle minacce" per i prodotti Adobe continua, dice la società, così come la collaborazione con i partner per la sicurezza.

Alfonso Maruccia
Notizie collegate
  • SicurezzaAdobe patcha Flash anzitempoNuovo aggiornamento disponibile per il player multimediale di Adobe. Prima del previsto, scanso equivoci. Il problema, rivela uno studio, è che gli utenti spesso se la prendono (troppo) comoda con gli update
26 Commenti alla Notizia Adobe Reader, la falla oltre la sandbox
Ordina
  • Scusate l'OT, ma ho notato che, nell'anteprima del filmato youtube, sulla parte destra dello schermo si vede l'uso di Process Explorer, un bel task manager gratuito che consiglio a chi non lo abbia ancora provato (trovo molto utili Process Explorer e TCPview di Sysinternals ad esempio quando vado a caccia di malware). Meno male che l'acquisizione di Sysinternals da parte di MS non ha portato all'esinzione dei suoi utili tools (come ad esempio AdExplorer per sfogliare l'Active Directory, ProcessMon, ecc.)!

    Ciao!
    I link se volete provare:
    http://www.sysinternals.com
    http://technet.microsoft.com/it-it/sysinternals/bb...
    http://technet.microsoft.com/it-it/sysinternals/bb...
    non+autenticato
  • Che pena... sicurezza Adobe ridicola come sempre. Rotola dal ridere
    non+autenticato
  • Che avranno il plug-in Adobe installato.
    Cosa che mi guardo bene dal fare da quando uso OS X. Anche perché il rendering PDF nativo di OS X è anni luce migliore di quello Adobe...
  • - Scritto da: MacGeek
    > Che avranno il plug-in Adobe installato.
    Quindi solo chi ha IE.

    > Cosa che mi guardo bene dal fare da quando uso OS
    > X. Anche perché il rendering PDF nativo di OS X è
    > anni luce migliore di quello
    > Adobe...
    Pure su linux non occorre roba di adobe per visualizzare i pdf.
    Anzi, il visualizzatore di pdf di sistema se ne sbatte pure delle limitazioni eventualmente inserite nel pdf ed e' sempre possibile stampare, selezionare, copiare, incollare, editare...
    Vale il principio che se il file e' sul mio computer ci faccio quello che mi pare.
  • - Scritto da: panda rossa
    > - Scritto da: MacGeek
    > > Che avranno il plug-in Adobe installato.
    > Quindi solo chi ha IE.
    >
    > > Cosa che mi guardo bene dal fare da quando
    > uso
    > OS
    > > X. Anche perché il rendering PDF nativo di
    > OS X
    > è
    > > anni luce migliore di quello
    > > Adobe...
    > Pure su linux non occorre roba di adobe per
    > visualizzare i
    > pdf.
    > Anzi, il visualizzatore di pdf di sistema se ne
    > sbatte pure delle limitazioni eventualmente
    > inserite nel pdf ed e' sempre possibile stampare,
    > selezionare, copiare, incollare,
    > editare...
    > Vale il principio che se il file e' sul mio
    > computer ci faccio quello che mi
    > pare.
    E lo dici a un macaco?
    Lui fa quello che pare a Apple mica quello che pare a lui!
    Nella logica Macaca lunica cosa che è (anzi era) tua sono i soldi che hai speso!
    non+autenticato
  • > Pure su linux non occorre roba di adobe per
    > visualizzare i
    > pdf.
    > Anzi, il visualizzatore di pdf di sistema se ne
    > sbatte pure delle limitazioni eventualmente
    > inserite nel pdf ed e' sempre possibile stampare,
    > selezionare, copiare, incollare,
    > editare...

    Ti posso dire che quando ho "dovuto" usare Windows 7 per sviluppare con software proprietario, non ho proprio resistito ad aspettare tre ore per aprire un pdf e incasinarmi col browser, così avevo messo "evince" anche lì (con i soliti firefox, libreoffice, cygwin ) e funzionava BENISSIMO :

    http://ftp.gnome.org/pub/gnome/binaries/win32/evin.../

    ancora non capisco perché la gente si ostini a tenere un spyware pieno di buchi sul proprio sistema operativo ... o forse è il contrario ... boh.
    non+autenticato
  • Tutti i browser possono installare i plugin Adobe...
  • - Scritto da: Francesco_Holy87
    > Tutti i browser possono installare i plugin
    > Adobe...

    Il fatto che si possa, non lo rende obbligatorio.
    Chi ha scelto una volta, puo' scegliere una seconda.
    Chi invece non ha scelto la prima volta, non scegliera' neanche la seconda.

    Quindi il binomio IE+AR domina incontrastato con tutti i suoi buchi al quadrato.
  • - Scritto da: panda rossa
    > Vale il principio che se il file e' sul mio
    > computer ci faccio quello che mi
    > pare.

    Un "principio"? E di che tipo?
    ruppolo
    33147
  • - Scritto da: ruppolo
    > - Scritto da: panda rossa
    > > Vale il principio che se il file e' sul mio
    > > computer ci faccio quello che mi
    > > pare.
    >
    > Un "principio"? E di che tipo?

    E' un principio di legge naturale.
    Tutto cio' che rientra nelle mie disponibilita' e' mio.

    Il tuo iPad per esempio, rientrando nelle disponibilita' di apple, appartiene ad apple.
    La mia tastiera invece, rientrando nelle mie disponibilita', e' mia e la sto usando in questo momento.
  • - Scritto da: MacGeek
    > Che avranno il plug-in Adobe installato.
    > Cosa che mi guardo bene dal fare da quando uso OS
    > X. Anche perché il rendering PDF nativo di OS X è
    > anni luce migliore di quello
    > Adobe...
    Tu taci che Apple e Adobe sono stati "fidanzatini" per un pezzo anzi si può dire che sono stati la "coppia del secolo" (scorso)
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: MacGeek
    > > Che avranno il plug-in Adobe installato.
    > > Cosa che mi guardo bene dal fare da quando uso
    > OS
    > > X. Anche perché il rendering PDF nativo di OS X
    > è
    > > anni luce migliore di quello
    > > Adobe...
    > Tu taci che Apple e Adobe sono stati
    > "fidanzatini" per un pezzo anzi si può dire che
    > sono stati la "coppia del secolo"
    > (scorso)
    > Rotola dal ridereRotola dal ridere

    Appunto. Era un alto secolo. Poi Warnock è andato in pensione e lasciato il posto ai markettari, con le solite nefaste conseguenze.
  • - Scritto da: MacGeek
    > - Scritto da: tucumcari
    > > - Scritto da: MacGeek
    > > > Che avranno il plug-in Adobe installato.
    > > > Cosa che mi guardo bene dal fare da
    > quando
    > uso
    > > OS
    > > > X. Anche perché il rendering PDF nativo
    > di OS
    > X
    > > è
    > > > anni luce migliore di quello
    > > > Adobe...
    > > Tu taci che Apple e Adobe sono stati
    > > "fidanzatini" per un pezzo anzi si può dire
    > che
    > > sono stati la "coppia del secolo"
    > > (scorso)
    > > Rotola dal ridereRotola dal ridere
    >
    > Appunto. Era un alto secolo. Poi Warnock è andato
    > in pensione e lasciato il posto ai markettari,
    > con le solite nefaste
    > conseguenze.

    Non mi ricordo in quale grande fiera USA (negli anni di Mac OSFicoso lo stand Adobe sfoggiava solo PC con Premiere.

    Gli ingegneri Apple, dello stand che gli stava di fronte, si offrirono di dargli un paio di Mac per far girare Premiere anche su MacOS (che andava meglio).

    La risposta degli standisti Adobe fu: – Sorry dudes, Microsoft ha pagato per non vedere Mac nel nostro stand...

    Gli ingegneri Apple tornando al loro stand pensarono.. se questi sono gli amici...

    I riferimenti precisi si trovano in rete...
  • io uso Sumatrapdf leggerissimo e ovviamente installa anche il plugin per il browser. E' opensource. Non ha più senso usare Adobe Reader con tutta la scelta disponibile in rete.
  • - Scritto da: thebecker
    > io uso Sumatrapdf leggerissimo e ovviamente
    > installa anche il plugin per il browser. E'
    > opensource. Non ha più senso usare Adobe Reader
    > con tutta la scelta disponibile in
    > rete.

    Purtroppo non sempre è così.
    A volte ci sono degli utenti che DEVONO usare per forza Adobe Reader per alcune funzionalità che non sono previste negli altri Software o perché usano dei Software che PRETENDONO di usare come lettore PDF solo Adobe Reader (es. alcuni software usati da commercialisti o consulenti del lavoro). In un caso ho anche avuto problemi anche ad aggiornare la versione di Adobe Reader...
  • - Scritto da: dapinna
    > - Scritto da: thebecker
    > > io uso Sumatrapdf leggerissimo e ovviamente
    > > installa anche il plugin per il browser. E'
    > > opensource. Non ha più senso usare Adobe
    > Reader
    > > con tutta la scelta disponibile in
    > > rete.
    >
    > Purtroppo non sempre è così.
    > A volte ci sono degli utenti che DEVONO usare per
    > forza Adobe Reader per alcune funzionalità che
    > non sono previste negli altri Software o perché
    > usano dei Software che PRETENDONO di usare come
    > lettore PDF solo Adobe Reader (es. alcuni
    > software usati da commercialisti o consulenti del
    > lavoro). In un caso ho anche avuto problemi anche
    > ad aggiornare la versione di Adobe
    > Reader...

    lo so, ho avuto esperienze lavorative dove un programma obbligava a usare Adobe Reader (io avevo cambiato lettore PDF). Io non capisco perchè sono così ottusi da programmare un software che apre i PDF usando solo Adobe Reader.
  • C'è di peggio... Triste

    Ho una cliente, Commercialista e Consulente del Lavoro.
    Da alcuni anni usa OpenOffice.org (prima) e LibreOffice (ora) con soddisfazione.

    Ieri Le ho dovuto vendere una licenza di Office2010 (250 €) perché il suo programma di contabilità, per una determinata funzione che alla fine rilascia un report, richiede Microsoft Word.

    Nel PC (abbastanza nuovo) c'era la possibilità di abilitare la versione Starter di Office 2010, ma con quella cmq non funzionava.

    Alla fine, per non mettere una versione Piratata ha comprato la licenza.
  • Ok c'è scritto che con Chrome non ci sono problemi, ma scrivere se si può utilizzare comunque il plugin di Adobe o se bisogna direttamente usare quello integrato di Chrome no è?
    non+autenticato