Anticipando gli aggiornamenti di sicurezza trimestrali precedentemente programmati per il 13 luglio, Adobe ha rilasciato una serie di patch che correggono 17 vulnerabilità in Reader e Acrobat. Tra queste falle ce ne sono due, particolarmente gravi, già utilizzate in alcuni attacchi sul campo.
Una delle due vulnerabilità più gravi è quella segnalata a fine marzo dal ricercatore Didier Stevens, che permette ad un aggressore di sfruttare una caratteristica dello standard PDF per eseguire un programma inglobato nel documento.
L’altra vulnerabilità è stata resa nota all’inizio di giugno, e non riguarda direttamente Adobe Reader/Acrobat o il formato PDF: il bug si trova in un componente di Flash Player, ma il vettore di attacco è costituito dai file PDF. Con il recente rilascio di Flash Player 10.1 Adobe ha già provveduto a correggere il problema a monte, ed ora si è assicurata che anche le sue applicazioni per i PDF non possano più nuocere.
La maggior parte delle altre vulnerabilità corrette dalle nuove versioni 9.3.3 e 8.2.3 di Reader e Acrobat consistono in bug che, se innescati, possono causare il crash dell’applicazione e l’esecuzione di codice con gli stessi privilegi dell’utente.
Grazie al nuovo meccanismo introdotto nelle più recenti versioni di Reader e Acrobat per Windows e Mac, le due applicazioni sono in grado di aggiornarsi in modo completamente automatico: questo, secondo l’azienda californiana, ha fatto sì che l’ultimo aggiornamento sia stato applicato dagli utenti tre volte più rapidamente rispetto ai precedenti.
Adobe ha fissato il prossimo update di sicurezza di Reader/Acrobat per il 12 ottobre.
Alessandro Del Rosso