Cerca nel blog

2009/12/18

Acrobat e Reader, falla Javascript

Usate Acrobat o Reader? Meglio disabilitare Javascript in entrambi


Leggi un PDF e t'infetti. Sembra impossibile, visto che il PDF è un formato di sola lettura, eppure nei programmi Acrobat 9.2 e Reader 9.2 di Adobe, che gestiscono questo formato, c'è una falla critica, classificata come CVE-2009-4324 e segnalata qui da Adobe, che viene già sfruttata dai criminali online per installare software ostile sui computer delle vittime inconsapevoli del rischio.

La falla riguarda le versioni Windows, Macintosh e Unix del popolarissimo Reader gratuito e le versioni Windows e Mac di Acrobat (sì, sono a rischio anche i Mac). La correzione non sarà pronta prima del 12 gennaio prossimo, secondo quanto annunciato da Adobe.

Fino a quella data, se usate questi programmi e non volete essere esposti a questa vulnerabilità dovete disattivare le loro opzioni Javascript andando nelle loro preferenze, scegliendo la categoria Javascript e cliccando sulla casella di abilitazione del Javascript in modo da far sparire il suo segno di spunta.

Più in generale, è molto raro aver bisogno di usare Javascript dentro un documento PDF, per cui vi conviene tenere comunque Javascript disattivato nel Reader. Se per qualche ragione abbastanza insolita avete bisogno di tenerlo attivato ma volete comunque ridurre i rischi dovuti alla falla, potete usare i consigli tecnici provvisori di Adobe.

20 commenti:

theDRaKKaR ha detto...

nottambulo...

il gattino è splendido!

la notizia invece ha un sapore di déjà vu: i bug pericolosi di Adobe Acrobat sono un topos informatico..

Sasà ha detto...

Mi fa piacere sapere di non essere l'unico sveglio nella rete...

Grezzo ha detto...

Disabilitato, thanks

So' L'enigmista ha detto...

Disattivato. Ma perché continua a chiedermi, ogni volta che chiudo Acrobat, se voglio per caso riattivare JavaScript?!!?!? Che rottura!!!!!

Claudio ha detto...

Di bachi importanti relativi a Acrobat Reader ne sono usciti nel corso del tempo a tonnellate, il che fa ridere se pensiamo come ha detto ricordato Paolo che si tratta di un software che permette solo di visualizzare dei documenti; c'è solo da ringraziare che Adobe non faccia sistemi operativi.

Ema ha detto...

Per fortuna che su Mac esiste anche Anteprima... il Reader lo apro solo per sbaglio...

So' L'enigmista ha detto...

il che fa ridere se pensiamo come ha detto ricordato Paolo che si tratta di un software che permette solo di visualizzare dei documenti

Anche i browser una volta servivano solo a visualizzare dei documenti...

Dan ha detto...

In effetti più vedo tutti questi bachi sul Reader e quanto è pesante sulla memoria e sul disco, è più mi ricordo che volevo installare qualcosa di alternativo tipo Foxit eccetera.
(manco a dirlo, Javascript sul Reader l'avevo già disattivato perchè proprio non ne vedevo l'utilità).

Robert ha detto...

Io sono tornato ad acrobat perchè foxit mi dava problemi nella fase di stampa dei pdf.. però.. javascript credevo di averlo già disabilitato.. forse confondo con l'altro pc. cmq ora è disabilitato. Grazie Paolo per la segnalazione.
Per me è sempre una seccatura lasciare attive cose inutilizzate.. se poi diventano pure potenzialmente dannose è una seccatura al cubo..

Federico ha detto...

il problema principale è che se disattivi i javascript nei pdf (che sono ASSOLUTAMENTE INUTILI), acrobat ti rompe le scatole ogni volta che lo apri...

Tukler ha detto...

@Enigmista:
Beh dai non proprio, Mosaic è nato nel 1993 per visualizzare ipertesti, dopo meno di un anno era già uno strumento per utilizzare applicazioni web, nel 1996 Netscape 2 aveva già Javascript e i cookies, ed erano nate le pagine dinamiche.

Adobe Reader è nato lo stesso anno per visualizzare documenti pdf statici e dopo 16 anni serve esattamente alla stessa cosa per il 99% delle persone, ma loro hanno voluto a tutti i costi inserire Javascript, applet ecc... e dargli più funzionalità di un browser, rendendolo un programma pesantissimo, senza che nessuno (tranne i malintenzionati) le usi.
Avessero fatto almeno una versione lite...

So' L'enigmista ha detto...

il problema principale è che se disattivi i javascript nei pdf (che sono ASSOLUTAMENTE INUTILI), acrobat ti rompe le scatole ogni volta che lo apri...

A me quando lo chiudi! Ma non si può eliminare? Se disattivo javascript nei browser, mica mi chiede di riattivarlo! Poi voglio sapere davvero quanti mettono degli script nei PDF.

ju ha detto...

Installatevi ubuntu e usate evince invece di quel mattone insicuro di reader :-)

So' L'enigmista ha detto...

Grazie del consiglio Ju! Ma ho seguito solo la seconda parte: ho deciso di provare Evince per Windows!

Brazov ha detto...

@ju: io ho installato acrobat in ubuntu 9.10 perché volevo avere un plugin per firefox. Hai delle alternative?

tosky ha detto...

Penso che possa interessare: un po' di tempo fa, Free Software Foundation Europe ha lanciato un sito per promuovere i lettori PDF alternativi distribuiti con licenza libera, importanti per un formato standard.
Sono disponibili per varie piattaforme (ovviamente quelle libere sono consigliate :) , e il sito è:
http://www.pdfreaders.org/

franco ha detto...

io Acrobat Reader non lo uso più : sono passato prima a Foxit Reader e poi a Pdf X-Change Viewer della Docutrack

Max Senesi ha detto...

Fortunatamente si può fare a meno di Adobe Reader usando foxit, che non rompe se gli disabiliti i javascript, cosa che ho già fatto da una vita. Qualcuno ha dettagli sulla sua sicurezza? Nel senso è un po' più sicuro dell'Acrobat Reader? Non ho trovato nessuna conclusione particolarmente convincente sull'argomento

rob ha detto...

So che sto facendo una figuraccia, ma qualcuno può dirmi come si disabilita javascript in reader?

theDRaKKaR ha detto...

@rob

istruzioni sicuramente valide per Adobe Reader 9.2.0 per Windows:

Menù Modifica -> Preferenze -> Javascript -> togli segno di spunta da Abilita Javascript di Acrobat