Cerca nel blog

2010/07/02

Adobe tura 17 falle, ma una resta aperta

Sistemate 17 magagne di Adobe Acrobat e Reader, ma è meglio disabilitare Javascript lo stesso


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Il 29 giugno scorso Adobe ha rilasciato un aggiornamento di Adobe Reader e Acrobat, i popolari programmi di lettura e generazione di documenti in formato PDF installati sul 90% dei computer. L'aggiornamento corregge 17 vulnerabilità documentate e attivamente sfruttate per attacchi che riguardano gli utenti Windows, Mac e UNIX.

Fra le falle turate c'è (almeno secondo Adobe) quella descritta dal ricercatore di sicurezza Didier Stevens ad aprile scorso, che permetteva di infettare un computer inducendo l'utente semplicemente ad aprire un documento PDF appositamente confezionato. Ma un altro ricercatore, il vietnamita Le Manh Tung, ha scoperto che il rattoppo è aggirabile semplicemente mettendo le virgolette intorno al comando ostile usato per infettare il computer della vittima. Questa falla, quindi, rimane aperta, anche se diventa più difficile ingannare la vittima, ma si chiudono le altre.

L'aggiornamento porta Reader e Acrobat alla versione 9.3.3 per Windows, Macintosh e UNIX. Per gli utenti Windows e Mac che non possono aggiornarsi alla versione 9.3.3, esiste un aggiornamento della versione 8, denominata 8.2.3. Le falle sono considerate critiche e Adobe raccomanda agli utenti di aggiornare il proprio software. La procedura di aggiornamento è di norma automatica.

Nonostante la raffica di rattoppi, alcuni esperti consigliano di disattivare comunque Javascript in questi due programmi, perché le vulnerabilità recenti hanno come elemento ricorrente comune proprio il Javascript, che in Reader e Acrobat è abilitato per default. Meglio non correre rischi, anche perché è raro usare Javascript in questo modo. Disabilitarlo è semplice: si va nelle preferenze di ciascun programma, si sceglie la categoria Javascript e si clicca sulla casella di abilitazione del Javascript in modo da far sparire il suo segno di spunta. Infine si clicca su OK per attivare le nuove impostazioni.

7 commenti:

Pax ha detto...

Piccola nota anche se sei scusato perche' e' tardi

Tra le falle turate c'è (almeno secondo Adove)

Adobe

Lanf ha detto...

Un'ulteriore invito ad usare altri programmi per la visualizzazione dei PDF, un esempio a caso: Sumatra

TuKler ha detto...

Disabilitarlo è semplice: si va nelle preferenze di ciascun programma, si sceglie la categoria Javascript e si clicca sulla casella di abilitazione del Javascript in modo da far sparire il suo segno di spunta.

E poi possibilmente si clicca su OK, non sulla grossa X rossa che attira tanto l'attenzione:P
Sempre meglio precisarlo...

Paolo Attivissimo ha detto...

E poi possibilmente si clicca su OK

Giusto. Aggiungo, grazie.

Mousse ha detto...

@Lanf: programmi alternativi che purtroppo NON hanno le funzioni di quelli "ufficiali", come per esempio la gestione delle revisioni, annotazioni, incorporamento di oggetti, inserimento di segnalibri, compilazione di moduli (questa non ce l'ha nemmeno il Reader originale Adobe) e così via.

Finchè si tratta di leggere dei testi ok, esistono numerose alternative anche gratuite, spesso già incorporate nel sistema operativo (Anteprima di OSX per dirne una).

Il fatto è che ci sono degli usi dei file PDF che richiedono proprio la presenza di codice chiamiamolo eseguibile all'interno dei documenti. Altre volte è necessario poter apportare delle revisioni ai testi, aggiungere annotazioni e commenti, quindi diventa indispensabile la "versione completa".

Poi, se devo solo leggere, anche io uso Sumatra PDF che è leggerissimo..

theDRaKKaR ha detto...

ormai quando leggo la parola ricercatore mi viene sempre in mente un certo "ricercatore indipendente" e non riesco più a prendere sul serio il resto :D

franco ha detto...

Beh, un ulteriore invito a non utilizzare Adobe Acrobat Reader !
C'è Sumatra pdf Reader, Cool Pdf Reader : insomma c'è una marea di lettori pdf che meriterebbero di esser utilizzati al posto di Acrobat Reader !
Io , per esempio, utilizzo, Docu-Track Pdf X Change Viewer 2.0.53 !
STDU Viewer ver 1.5. legge anche il formato Djvu oltre il pdf !
Per Mac avete la possibilità di utilizzare il browser Safari o il software open-source Skim !