Cerca nel blog

2009/02/20

Occhio ai Javascript nei PDF con Acrobat

Falla nei PDF, disattivate Javascript nel vostro lettore


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Uno dei vantaggi del formato PDF, popolarissimo per la distribuzione digitale di documenti, è sempre stata la sua sicurezza: non poteva essere usato come vettore di infezioni o di attacchi informatici (come vettore di scemenze letterarie sì, ma questa è un'altra storia). Non è più così.

Arriva infatti dal sito di sicurezza informatica Shadowserver.com la segnalazione di un vulnerabilità "molto grave" in Adobe Acrobat Reader, uno dei più diffusi programmi per la lettura di questo formato PDF, e specificamente nelle sue versioni 8 e 9; non è ancora confermata la vulnerabilità del programma Acrobat completo (quello usato per generare e modificare i documenti PDF) è stata confermata dopo la prima stesura di questo articolo.

Sono già in corso attacchi basati su questa vulnerabilità, che viene scatenata utilizzato le funzioni Javascript presenti nel programma: la vittima riceve un PDF appositamente confezionato e il suo computer va in tilt in vari modi a seconda del sistema operativo e della quantità di memoria installata, permettendo l'esecuzione di codice ostile a piacimento dell'aggressore.

La soluzione, in attesa del rattoppo da parte di Adobe, è disabilitare Javascript nel programma: in questo modo, un PDF infetto farà crashare il Reader ma non farà altri danni. Per eseguire questa disabilitazione basta andare in Modifica - Preferenze - Javascript e disattivare la casella dedicata al Javascript (Edit -> Preferences -> JavaScript, disattivare Enable Acrobat JavaScript). I principali antivirus sono già in grado di rilevare questo tipo di attacco.

36 commenti:

Fabrizio Faleni ha detto...

Grazie Paolo, ti segnalo che puoi correggere il post in quanto Adobe segnala la falla anche per Acrobat completo (http://www.adobe.com/support/security/advisories/apsa09-01.html)

Dan ha detto...

Quando sento notizie del genere, non so perchè ma ho l'irrazionale sensazione che succeda perchè cercano di infilare troppe funzioni in un semplice programma altrimenti perfettamente funzionale. Non chiedetemi perchè.

BigFab ha detto...

Grazie Paolo, sul mio Macbook ho provveduto a disabilitare Javascript andando sotto Adobe Reader - Preferenze - Javascript e togliendo il flag dell'Abilita Javascript di Reader. Saluti!

nicola ha detto...

E' la prima cosa che pensai quando vidi javascript e tante altre nuove opzioni su AR8: i pdf saranno veicoli di virus. E infatti.

Mi stupisce che i virus siano arrivati solo ora. Me li aspettavo molto prima. Ma forse è solo mia ignoranza.

Harlock ha detto...

Acrobat...acrobat...uh!? Che strano, su UBUNTU non c'è!! ;-)

Per prodotti con FOXIT si sa nulla?

avisintini ha detto...

il pdf avrebbe dovuto rimanere una sorta di immagine evoluta senza contenere codice eseguibile.

Anonimo ha detto...

Ma per difenderci che dobbiamo fare? Kaspersky riconosce la falla oppure no?

Stefano Nicoletti ha detto...

Per difenderci basta non aprire pdf inviati da sconosciuti.

Unknown ha detto...

Grazie!
Per sicurezza ho disattivato il Javascript anche da PDF-XChange ...

Ma poi il Javascript sul pdf a che ca@#$ serve? Più che dei virus dovremmo liberarci da questa mania di fare del software che fa di tutto!

Claudio Casonato ha detto...

Troppe cose....
Io ricordo il primo PC preso in ditta, con il 'lard disc' grosso, da 20 mega (non GIGA, proprio MEGA), e ben 1 mega di RAM.
C'era Excel, Word, Paint, e faceva tutto quello che ci serviva.

Adesso per installare Office 2007 ci vogliono circa 600 mega, ci sono funzioni per fare qualsiasi cosa, ma alla fine, il 95 % degli utenti usano quello che c'era nell'Excel di 20 anni fa.....

Rado il Figo ha detto...

Molto OT (rispetto all'argomento)

ma qui sotto vedo un banner pubblicitario che rimanda al sito www.risparmia e guadagna . com (spazi aggiunti), che puzza di bufala o peggio lontano un chilometro...

Anonimo ha detto...

@cesco
per difenderti basterebbe non usare windows :D
o non usare adobe, credo che il foxit reader (ottimo tra l'altro in quanto è immensamente più rapido dell'adobe...) ne sia immune

harlock09999
che strano nemmeno sul mio ubuntu c'è l'adobe...
sarà un complotto? :D

Anonimo ha detto...

Claudio Casonato

hai mai installato una stampante HP da CD?
Un driver
ripeto DRIVER sono come minimo 200 MEGA, che arrivano finoa 600 come niente
per un driver???
Meno male che si trova anche il driver nudo che credo che a stento arrivi a 10mb...
dimmi te se ti pare normale...

IlPixelMatto ha detto...

bene... ci manca solo il sistema operativo con dentro già di suo qualche virus e siamo a posto... ;) hihi

peppe ha detto...

Mi stupisce che i virus siano arrivati solo ora. Me li aspettavo molto prima. Ma forse è solo mia ignoranza.

O forse il fatto che alla Adobe sanno scrivere il software, di conseguenza falle grosse non se ne trovano così spesso...

Acrobat...acrobat...uh!? Che strano, su UBUNTU non c'è!! ;-)

Adobe (acrobat?) Reader esiste anche per Ubuntu (per Linux e altri Unix in generale), non solo per Windows / Mac / Palm / Symbian e così via. Sotto Linux è praticamente lo stesso gigante mangiamemoria che c'è per Windows.

Sfortunatamente, non sempre puoi non usarlo, specialmente quando ti scontri con

1) PDF di ultima generazione, non supportati da nessun lettore libero
1-bis) PDF contenenti audio/video/3d/flash/Javascript
1-ter) PDF contenenti formulari, con campi da compilare

2) PDF "vecchio stile", ma che i lettori (liberi/gratuiti di sorta) hanno problemi a leggere per bug più o meno noti

3) PDF con moltissimi elementi grafici (vettoriali), dove la velocità di rendering di Adobe Reader diventa necessaria

4) PDF da cui devi copiare ed incollare contenuti. I lettori alternativi in generale fanno veramente pena in questo senso, il copi-incolla è grossolano, difficile da gestire, introduce parecchia immondizia (caratteri non stampabili nel mezzo, cose di questo genere), non gestiscono le legature e così via.

Quindi, è inutile fare gli spacconi dicendo "uso ubuntu". Come sistema operativo principale uso esclusivamnete Linux da almeno 10 anni, e come puoi vedere, non c'è affatto libertà di scelta.

ZeD ha detto...

@giuseppe d'angelo

prova okular e poi ne parliamo :p

no, seriamente: a parte i contenuti video (su cui stanno lavorando) tutto il resto (anche i form) sono perfettamente supportati

peppe ha detto...

Conosco Okular ed Evince, e li uso. Uso acroread solo quando non se ne può fare a meno.

Io non parlo a vanvera. Con i lettori basati su poppler, non si può ancora

- salvare i PDF con i form compilati
- avere pieno supporto JS (il che rende impossibile usare PDF con form scriptati)
- visualizzare modelli 3d embedded nei pdf
- registrare annotazioni audio
- visualizzare i filmati Flash inseriti all'interno di PDF

eccetera eccetera.

Le valutazioni sulle scarse/pessime performance se comparate ad adobe reader rimangono.

peppe ha detto...

In altre parole: non voglio denigrare lo sforzo di chi si adopera per fornire lettori liberi. È una cosa lodevole e sacrosanta.

Dico solo che c'è ancora un netto margine di differenza come features e performance tra questi lettori e adobe reader. Tutto qua.

Anonimo ha detto...

@riccardo russo
stai parlando di windows...

Windows? Windows is what you open when you need fresh air... ;)

Unknown ha detto...

http://pdfreaders.org/

giusto perchè siamo in tema.. campagna della FSF pe rutilizzare lettori liberi...

(poi ovvio se cè necessità di una feature che in quelli liberi non cè.. cè poco da poter scegliere... ed è un peccato)

Anonimo ha detto...

@giuseppe d'angelo

Quindi, è inutile fare gli spacconi dicendo "uso ubuntu"

non è spacconaggine, è semplicemente la consapevolezza che i bug riguardano solo e soltanto windows :)
poi il fatto che non si sia riusciti ancora a svincolarsi dal predominio MS (per tanti, troppi motivi) è un altro discorso ed è innegabile

però permettimi da utente windows e utente linux di avere la consapevolezza che il secondo è infinitamente superiore per qualità e potenzialità rispetto al primo

Ubuntu fa quello che gli dico, WIndows fa quello che pensa che io voglia...
è un po' diverso :)

P.S. e poi dai, un po' di presa di giro su windows ci sta sempre bene... :D

Lady O ha detto...

Ho controllato... Io uso ancora la versione 7, e ho un'amica che usa addirittura la versione 6 ! Siamo al sicuro? Cosa ci suggerite?

Unknown ha detto...

rifaccio la domanda di harlock00999 per sapere come sia messo FOXIT su questo problema

Lady O ha detto...

Yahoo, c'è nessuno? Chiedo un consiglio di informatica e spariscono tutti? Dove sono finiti tutti i commentatori di Attivissimo? Sui thread dei complottisti, a dar da mangiare ai troll?

Andrea Sacchini ha detto...

Volevo segnalare che circa un'oretta fa The Register ha dato notizia un nuovo bug di Adobe, questa volta nella gestione del formato flash.

Bug che interesserebbe, oltre al solito Windows, anche le piattaforme Mac e Linux.

Dettagli qui.

Anonimo ha detto...

@Lady O
se vuoi stare al sicuro passa al foxit-reader che non dovrebbe soffrire delle falle dell'adobe

anche se come faceva notare qualcuno qualche commento più in su, spesso i lettori Open Source non hanno tutte le funzionalità dell'AR (anche se lettura ed editing di PDF sono già molto per il 90% dei pc users)

se no puoi passare a linux ;)

Giorgio Loi ha detto...

@Lady O
Chiedo un consiglio di informatica e spariscono tutti?

Purtroppo da un (bel) po' di tempo, il "consiglio informatico" medio di questo blog è "passa a Linux/Mac" oppure "ma usi ancora quella baracca di Windows?".
I tempi dell'acchiappavirus sono lontani, ahimé.

Confermo che Foxit dovrebbe metterci al sicuro (lo uso anch'io), o alternativamente disabilita lo Javascript dal reader di Adobe.

Anonimo ha detto...

@Giorgio_Loi

effettivamente Linux è sconosciuto ai più, la maggioranza della gente di linux conosce lo stereotipo linux = difficile da usare
mentre ormai non è più così da moltissimi anni, anzi molto spesso linux (nel mio caso parlo di Ubuntu) ha dei comportamenti che ti semplificano la vita (es. se attacchi una periferica di cui lui ha i driver quella periferica funziona direttamente, senza fare tutto il panegirico di "trovato nuovo hardware" - tanto per dirne una)...
Ormai ho installato ubuntu su quasi tutti i pc di casa e sinceramente non rimpiango windows ;)

Giorgio Loi ha detto...

@ Guido

Io ho avuto un'esperienza un po' diversa. Parecchi mesi fa decisi di installare Ubuntu 8.04 sul mio PC di allora in dual boot con XP, principalmente a fini di studio. Dopo un'iniziale curiosità, restò inutilizzato perché comunque con XP ci lavoravo bene. Però il ghiaccio era rotto, il primo contatto con l'alieno stabilito. ;)

Un paio di mesi fa sono arrivati, nell'ordine, un PC nuovo di zecca e un ASUS eeePC900, quest'ultimo colpa di quell'untore di Attivissimo che ti fa innamorare delle cose e poi si ritrae ;)

Poiché l'eeePC montava un'ignobile distro Xandros, decisi che poteva essere la buona occasione per passare a Ubuntu, per la precisione eeeBuntu 8.10, una distro ottimizzata ad hoc per la mia macchinetta e considerata "la versione definitiva per l'eeePC". Perfetto.

Scaricata, installata. Tutto a posto. Hardware pienamente riconosciuto, funzionamento corretto. Perfino la stampante di rete veniva installata dal sottoscritto (non certo un'aquila con Linux) in pochi minuti. Ok.

Beh... la settimana scorsa ho reinstallato XP, opportunamente alleggerito con nLite. Perché? Dovremmo scriverci in privato, perché la questione è lunga, ma ti assicuro che non c'erano né malevolenza né pregiudizi verso Linux. Anzi, ti assicuro che mi ci sono messo di buzzo buono. Ma alla fine, fatti due conti, il gioco non valeva la candela. Almeno per me.

Per tornare al mio commento precedente, sono purtroppo lontani i tempi di quando il sito di Attivissimo era l'home page di default del mio browser. Continuo a leggerlo per affetto, per interesse verso le sbufalate e i complottismi, ma se voglio consigli tecnici utili, ormai, devo andare su wintricks o altri siti/forum.

Giorgio Loi ha detto...

Dimenticavo... continuo a leggere Attivissimo anche perché da qualche anno è un mio quasi-vicino di casa! ;)

Anonimo ha detto...

Beh confesso che una macchina con XP l'ho tenuta, forse per me è diverso perchè comunque essendo un tecnico informatico posso permettermi di avere più di un pc, in quanto frutto di recuperi vari, e quindi non sono per me costi :)

sono un tecnico prettamente windows, perchè il parco macchine (quasi 2000 pc) su cui c'è SOLO windows, di linux sono un estimatore e un fruitore ma non posso certo definirmi "tecnico" :)

Se hai dovuto rimettere XP sicuramente avrai avuto i tuoi ottimi motivi, purtroppo non sempre linux può sostituire in toto windows. purtroppo.

comunque quando vedo certi comportamenti di windows non possono non rizzarmisi i capelli
tipo l'autoplay
oppure quando vai a fornire un driver "a mano" il path predefinito è a: anche quando il lettore floppy non c'è sulla macchina... :)

tosky ha detto...

Giusto per la cronaca: Okular, dalla versione compresa con KDE 4.1.x, e con poppler>=0.8, permette di salvare il contenuto dei moduli.
Per i problemi di compatibilità con i documenti più vecchi, una segnalazione di bug su poppler aiuta!

Dan ha detto...

Ho controllato: per sicurezza (e anche perchè non ne vedevo l'utilità) il Javascript in Adobe Reader era disattivato da quando l'ho installato...

"hai mai installato una stampante HP da CD?
Un driver, ripeto DRIVER sono come minimo 200 MEGA, che arrivano finoa 600 come niente per un driver???"

Hai usato proprio il caso peggiore come esempio... comunque l'ho notato anch'io, l'installazione di HP tende ad installare un sacco di documenti e programmini accessori che occupano spazio, servono a poco, e come da me rilevato nella pratica su computer più lenti portano il tempo di installazione sulla mezz'ora. La parsimonia è una qualità che si va perdendo.

"Dico solo che c'è ancora un netto margine di differenza come features e performance tra questi lettori e adobe reader. Tutto qua."
Mmh... questo credo sia da imputare al fatto che il PDF è uno standard chiuso. Senza contare che tutte le funzioni che citi nei PDF io neanche le ho mai sentite nominare...

Anonimo ha detto...

@dan
su qualsiasi computer è una cosa impossibile, non puoi chiedermi UN RIAVVIO per installare un cavolo di driver
poi se consideri che faccio il tecnico informatico di lavoro, una consegna di 5 stampanti HP installate in questo modo diventa un'impresa titanica...
Infatti di solito ci scarichiamo il driver nudo e crudo
che l'hp rende sempre disponibile (e se non lo è si sbarba dal cd )
e il gioco è fatto...

Giorgio Loi ha detto...

Guido:
Infatti di solito ci scarichiamo il driver nudo e crudo
che l'hp rende sempre disponibile (e se non lo è si sbarba dal cd )
e il gioco è fatto...


Da un tecnico come te non mi sarei aspettato una tale approssimazione! Lo sanno tutti che per installare un driver HP si deve inserire il CD *con autoplay attivato* e poi accettare TUTTE le opzioni previste. ^__^

Mautryx ha detto...

Ho seguito questo suggerimento dopo aver ascoltato il Disinformatico del 18 Dicembre.
Mi ricordo che, come corollario, avete detto "..tanto non serve praticamente MAI.." o qualcosa del genere.

Ovviamente, complice la legge di Murphy, mi è puntualmente capitato invece di averne bisogno!! {:-D

Ovvero, ho aperto un documento INPS ( assegni familiari ) e Acrobat Reader mi ha chiesto se volevo attivare il javascript, altrimenti non avrei potuto usufruire delle funzionalità aggiuntive del documento
( attivazione che modifica permanentemente la voce relativa nei Preferences ).

Tale documento permette di precompilare i dati e di salvare il documento : solo la prima volta che si salvano i dati, poi ciccia.

Quindi bisogna poi ri-disattivare il javascript.

Maurilio Martini