Tramite il bollettino di sicurezza APSB12-08 Adobe ha rilasciato le nuove versioni di Adobe Reader 10.x e 9.x, che ora portano i numeri 10.1.3 e 9.5.1: con questi aggiornamenti sono state risolte quattro vulnerabilità e migliorata così la sicurezza.
Le vulnerabilità contenute nelle precedenti versioni potevano essere sfruttate da un malintenzionato per mandare in crash l’applicazione e riuscire a prendere il controllo del sistema, per cui Adobe consiglia a tutti gli utenti di effettuare quanto prima l’aggiornamento. Tra le novità dichiarate dall’azienda nell’update rilasciato, v’è l’eliminazione di authplay.dll da Adobe Reader 9.5.1, ovvero la libreria Flash Player fornita in bundle con le versioni precedenti del programma per consentire l’esecuzione di contenuti Flash all’interno dei documenti PDF. Proprio la presenza di questa libreria ha causato alcuni problemi di sicurezza in passato.
Il motivo è semplice: condividendo gran parte del codice di Flash Player, la libreria esponeva Adobe Reader alle stesse vulnerabilità. Ma, mentre i bug di Flash Player venivano risolti, lo stesso non avveniva con authplay.dll. Si tratta, inoltre, di una decisione che ha soddisfatto Secunia, e che renderà più facile la gestione delle vulnerabilità Flash per gli utenti.
Tuttavia c’è ancora del lavoro da fare per Adobe, a cui si richiede la disabilitazione dei contenuti Flash nei documenti PDF: molti utenti, infatti, non hanno bisogno di questa funzionalità, e proprio la presenza di Flash nei file PDF è stata sfruttata a più riprese per diffondere software malevolo.
Infine, Adobe ha deciso di abbandonare la strategia degli aggiornamenti trimestrali, passando ad un ciclo di rilascio più dinamico e collegato ai bisogni di sicurezza. Come dichiarato da David Lenoe: «Pubblicheremo gli aggiornamenti di Adobe Reader e Acrobat secondo le necessità nel corso dell’anno per meglio indirizzare le esigenze dei consumatori e mantenere tutti i nostri utenti al sicuro. […] Le vulnerabilità dovrebbero essere risolte sempre il più velocemente possibile; non è giustificabile rinviare una correzione di vulnerabilità per un massimo di tre mesi solo per ragioni politiche». Il che rappresenta l’ennesimo cambiamento nelle policy di aggiornamento del gruppo nel giro di pochi anni.