Adobe Reader e Acrobat nuovamente a rischio

Una nuova grave minaccia affligge alcuni dei più celebri e diffusi applicativi prodotti da Adobe. Stando alle prime informazioni, Adobe Reader e Acrobat 9.1.3 e versioni precedenti per piattaforme Windows, Macintosh e Unix sono colpiti da una vulnerabilità critica che potrebbe consentire a un utente malintenzionato di eseguire codice non autorizzato e sottrarre dati all’insaputa del loro proprietario. Una patch per risolvere il malfunzionamento sarà diffusa solamente il prossimo martedì (13 ottobre), contestualmente al rilascio di un’altra serie di aggiornamenti per alcune altre falle riscontrate nei sistemi Adobe.

I sistemi equipaggiati con Windows Vista e dotati di Data Execution Prevention non dovrebbero essere esposti alla vulnerabilità, ma Adobe suggerisce comunque di disabilitare temporaneamente le funzioni JavaScript del suo Reader e di Acrobat per ulteriore sicurezza. Escludendo tale funzione un attacco potrebbe essere ugualmente portato a termine attraverso una variante messa in campo da un utente malintenzionato, possibilità che non appare molto remota.

La vulnerabilità può essere sfruttata attraverso l’utilizzo di un file PDF appositamente modificato e contenente porzioni di codice utili per forzare l’applicativo. Una volta ottenuto l’accesso, un utente malintenzionato potrebbe eseguire codice arbitrario e controllare alcune funzionalità del sistema all’insaputa del suo possessore. Il bug sarebbe stato sfruttato per ora in una serie limitata di attacchi, ma il numero di tentativi potrebbe aumentare nel corso dei prossimi giorni in attesa della patch sviluppata per sbarrare la strada agli utenti malintenzionati. Per questo motivo Adobe si è anche attivata presso i principali produttori di sistemi antivirus per fornire maggiori informazioni, utili per inserire nelle loro librerie le specifiche per riconoscere i file PDF appositamente modificati.

La disattivazione di JavaScript non richiede particolari conoscenze tecniche ed è già stata consigliata in altre occasioni analoghe da Adobe per mettere in sicurezza i propri applicativi in attesa di una patch. Dal menu “Modifica” del programma occorre selezionare la voce “Preferenze”, attendere la comparsa di un pannello sul quale occorre selezionare la voce “JavaScript” e successivamente togliere la spunta dall’opzione “Abilita JavaScript di Acrobat” e confermare infine cliccando sul tasto “OK”.

L’aggiornamento di sicurezza sarà rilasciato da Adobe il prossimo 13 ottobre e conterrà non solo le patch per la vulnerabilità critica in Adobe Reader e Acrobat 9.1.3, ma anche correzioni per Adobe Reader 8.1.6 e Acrobat 8.1.6 per piattaforme Windows, Macintosh e Unix, Adobe Reader 7.1.3 e Acrobat 7.1.3 per Windows e Macintosh.