3701 Letture

C'è un "baco" nel plug-in di Adobe Acrobat Reader

Secondo quanto dichiarato dagli italiani Stefano Di Paola, Giorgio Fedon ed Elia Florio, esperti di sicurezza informatica, la scoperta della vulnerabilità di sicurezza sarebbe stata da loro notificata ad Adobe già a metà Ottobre scorso purtuttavia il "quartier generale" della società californiana non sembra essersi mosso per rilasciare patch a risoluzione del problema.
I due ingegneri software hanno quindi pubblicato in Rete alcuni dettagli sui problemi individuati. Il componente interessato dalla vulnerabilità è l'Adobe Acrobat Reader Plugin nelle versioni 7.0 e precedenti. I problemi di sicurezza possono avere un impatto differente a seconda della versione del browser che l'utente utilizza (ad esempio, Firefox od Internet Explorer).
Le vulnerabilità scoperte nel plugin di Acrobat Reader potrebbero aprire la strada ad attacchi di tipo "Universal cross site scripting" (UXSS). Con la dizione "cross site scripting" (XSS) si definisce infatti una tipologia di attacco che generalmente viene portata a termine sfruttando una vulnerabilità di una "web application". L'aggressore inserisce del codice arbitrario come input di una web application in modo da modificarne il comportamento. A questo punto l'aggressore può preparare un URL "ad hoc" ed inviarlo ad un ignaro utente. Quest'ultimo si sentirà sicuro poiché gli sembrerà di utilizzare i servizi messi a disposizione dal sito web vulnerabile.
In questo caso, invece, si ha a che fare con problematiche residenti nei componenti lato client (coppia browser, plugin Acrobat Reader) e non legate ad un sito web.
Un aggressore remoto potrebbe quindi sfruttare l'ampia diffusione del plug-in di Adobe per condurre attacchi UXSS con la possibilità di eseguire codice javascript sulla macchina vittima e sfruttare le enormi potenzialità della tecnologia AJAX per far danni.
Il suggerimento, da applicare nell'immediato, consiste nell'installare Acrobat Reader 8.0, versione esente dal problema che però non è ancora disponibile in italiano.
Si attende, a questo punto, la pubblicazione di un bollettino ufficiale da parte di Adobe.

C'è un