Adobe è al lavoro su di una patch che ha il compito di correggere alcune gravi vulnerabilità di sicurezza nel plug-in di Adobe Reader, il popolare viewer di file PDF installato in decine di milioni di PC.
Gli esperti affermano che le falle espongono gli utenti al rischio di attacchi cross-site scripting (XSS), spesso utilizzati dai malintenzionati per truffe online e furto di dati personali. Per cadere nella “trappola” è sufficiente cliccare su di un URL maligno creato apposta per innescare il bug ed eseguire del codice JavaScript dannoso.
Le vulnerabilità, descritte in questo advisory di FrSIRT, interessano Adobe Reader 7.0.8 e le versioni precedenti. I problemi sembrano manifestarsi con vari browser , tra cui Internet Explorer 6, Firefox 1.x e 2.x e Opera 9.x. Ma non tutte le combinazioni tra browser e versioni di Adobe Reader sono a rischio: stando alla società di sicurezza iDefense , IE6 risulta ad esempio vulnerabile solo se utilizzato in accoppiata con Adobe Reader 6.x.
In alternativa all’imminente patch di Adobe, gli utenti possono proteggersi disattivando dal proprio browser l’esecuzione dei JavaScript o aggiornando la propria versione di Acrobat Reader alla 8.
Maggiori informazioni sulle sopracitate vulnerabilità si trovano anche in questo post di Symantec e nell’ advisory ufficiale di Adobe.
Nell’ultima settimana sono state corrette alcune vulnerabilità potenzialmente pericolose anche in OpenOffice ( v. advisory ), vulnerabilità riportate per la prima volta lo scorso ottobre.
Incessante, nel frattempo, il lavoro dell’esperto di sicurezza Kevin Finisterre , che nel blog the Month of Apple Bugs sta pubblicando quotidianamente un bug relativo ai software di Apple: tra le falle più serie ve n’è una, descritta qui , che interessa le versioni Windows e Mac di QuickTime.