In questo recente advisory Adobe ha confermato l’esistenza di una seria vulnerabilità di sicurezza zero-day in tutte le versioni attualmente supportate di Adobe Reader e Acrobat per Windows, Macintosh e Unix.
Adobe spiega che la falla può essere sfruttata da malintenzionati per causare il crash dell’applicazione ed eventualmente prendere il controllo del sistema vulnerabile. “Abbiamo ricevuto segnalazioni – si legge nell’advisory di Adobe – che la vulnerabilità viene attualmente sfruttata in alcuni attacchi. In attesa che venga resa disponibile una patch, Adobe raccomanda ai propri utenti di seguire le istruzioni su come mitigare il problema”.
Per minimizzare i rischi, agli utenti viene suggerito di avvalersi del JavaScript Blacklist Framework o, in alternativa, di disattivare JavaScript in Adobe Reader e Acrobat (lo si fa andando in Modifica -> Preferenze -> JavaScript e togliendo la spunta alla voce Abilita JavaScript di Acrobat ) e, se disponibile, attivando la funzione DEP (Data Execution Prevention) di Windows (generalmente attivata di default). “Dai nostri test è risultato che con la funzione DEP attivata l’impatto di questo exploit si riduce a un denial of service”, ha detto Adobe.
Come accade per quasi tutte le falle relative ad Adobe Reader e Acrobat, anche questa può essere innescata attraverso l’apertura di un PDF maligno: resta pertanto valida la raccomandazione di non aprire file PDF provenienti da fonti sconosciute o non attendibili.
Ieri la mamma del formato PDF ha fatto sapere che il rilascio di una patch è programmato per martedì 12 gennaio, data in linea con il suo tradizionale ciclo mensile dei rilasci: l’azienda sembra dunque ritenere che la situazione non sia così seria da giustificare la pubblicazione di un fix anticipato.
Per eventuali aggiornamenti sulla vulnerabilità è possibile seguire il blog Adobe Product Security Incident Response Team ( PSIRT ).
Alessandro Del Rosso