Adobe chiude sei falle critiche in Reader e aggiunge l’opzione “white list”
Adobe ha reso disponibile un aggiornamento per Reader, la popolare applicazione gratuita che permette di leggere i file PDF. L’update è stato rilasciato per chiudere sei falle che potevano compromettere la sicurezza dell’utente tramite documenti PDF appositamente modificati e inviati via e-mail. Fino adesso, queste vulnerabilità sono state sfruttate da pirati informatici contro un gran numero di aziende, tra cui alcuni importanti fornitori della difesa degli Stati Uniti, probabilmente per sottrarre informazioni riservate. Secondo alcune ricerche effettuate, ci sono numerosi indizi che rivelano il coinvolgimento degli hacker cinesi in questi attacchi informatici.
Adobe ha aggiornato Reader 9 per Windows quasi un mese fa, ma non Reader 10 (tutte le piattaforme) e Reader 9 per Mac e Linux. Il colosso di San Jose ha spiegato che Reader 10 è immune a questo tipo di attacchi grazie alla protezione “sandbox”, e gli utenti Mac e Linux non sono stati relativamente al sicuro perchè gli hacker si sono concentrati principalmente sui PC Windows.
Questo aggiornamento risolve due bug noti, ma anche altri quattro, che Adobe ha classificato tutti come “vulnerabilità critich”e perchè potrebbero consentire ai pirati informatici di prendere il possesso del computer o di infettarlo con virus.
I quattro bug non-noti sono stati segnalati dai ricercatori del team di sicurezza di Google, dall’azienda danese Secunia e da HP TippingPoint.
L’update per Linux, versione 9.4.7, risolve solo le due vulnerabilità scoperte il mese scorso da Lockheed Martin, uno dei più grandi fornitori di componenti aerospaziali e per la difesa degli Stati Uniti; e dalla Defense Security Information Exchange (DSIE), un gruppo di imprenditori impegnati contro i cyber-attacchi.
Con quest’ultimo aggiornamento, Adobe ha anche aggiunto una nuova funzione di sicurezza per Reader 9.5 e 10.1.2, che consente agli amministratori IT di società di disabilitare JavaScript in alcuni file PDF permettendo di funzionare in altri.
Secondo Steve Gottwals, responsabile dello sviluppo di Reader, la nuova funzione “white list” consente agli amministratori di disattivare Javascript in tutti i PDF ad eccezione di quelli che sono considerati come “trusted” (affidabili).
Se un documento è considerato “affidabile”, l’esecuzione JavaScript sarà consentita, ma se non è attendibile, Adobe Reader e Acrobat impediranno l’esecuzione di JavaScript”, ha spiegato Gottwals in un post sul blog ufficiale di Adobe. “La decisione se un PDF è fidato si basa su decisioni discrezionali”.
In precedenza, gli amministratori potevano solo scegliere se attivare o disattivare JavaScript. Gli
esperti di sicurezza hanno salutato con entusiasmo questa nuova flessibilità: “La migliore gestibilità consente di disattivare [JavaScript], ma permette di lavorare su documenti di determinati siti, come quelli all’interno dell’azienda”, ha dichiarato Wolfgang Kandek, chief technology officer di Qualys, aggiungendo: “Penso che sia una caratteristica molto utile per le imprese”.
JavaScript è stato la fonte di numerose vulnerabilità di Reader nel corso degli anni, ed è il sistema privilegiato dagli hacker per compromettere la sicurezza dei PC, installare malware e rubare le informazioni tramite file PDF “malicius”.
Molti degli aggiornamenti di sicurezza rilasciati per Adobe Reader nel 2010, per esempio, erano dovuti a vulnerabilità JavaScript, mentre già nel 2008, un ricercatore ha dichiarato che Adobe avrebbe sofferto di una “epidemia” di bug JavaScript.
Sia Reader 9.5, sia Reader 10.1.2 per Windows e Mac OS X includono la nuova funzione “whitelist JavaScript”, ma non la versione 9.4.7 per Linux.
La versione aggiornata di Reader per Windows e Mac OS X può essere scaricata dal sito Web di supporto di Adobe oppure direttamente dall’applicazione.
