Charlie Miller, esperto di sicurezza divenuto famoso per le proprie scoperte nel campo dei browser web, ha ora portato alla luce un baco piuttosto grave che affigge Adobe Reader e Adobe Acrobat.
Un errore nella validazione di un determinato campo di tipo Int (numeri interi) nella struttura dei file consente ai cracker di confezionare documenti PDF malformati, in grado di scatenare l'esecuzione di codice da remoto una volta aperti con una versione non debitamente aggiornata dei programmi.
Il difetto, classificato come "Highly critical" da Secunia, è stato confermato da Adobe ed affligge tutte le iterazioni passate e presenti, indipendentemente dal sistema operativo in uso: il difetto è presente sia sulle declinazioni per Windows, sia su quelle per Mac OS X e Linux.
In attesa di un aggiornamento, la raccomandazione è quella di non aprire documenti PDF da fonti potenzialmente insicure, oppure utilizzare un applicativo differente allo scopo.
Adobe ha comunicato che la patch arriverà nel corso della settimana del 16 agosto. Si tratterà di una release "straordinaria", in anticipo rispetto all'appuntamento regolare che rimane fissato per il 12 ottobre.
La speranza degli osservatori, oltre a quella di ricevere una versione aggiornata ed epurata dal difetto al più presto, è quella di assistere presto all'implementazione del meccanismo di sandboxing: tale strumento potrebbe infatti attenuare in maniera drastica la pericolosità di errori come questo.
Per Adobe, lo sviluppo della caratteristica dovrebbe essere una priorità: in caso contrario, è certamente probabile che il gruppo possa nuovamente raggiungere il podio di classifiche non troppo lusinghiere.
La falla di iPhone interessa anche i PC?
Parallelamente, si parla anche di altri problemi che vendono i riflettori puntati sui documenti in formato PDF.
F-Secure segnala infatti che lo stesso problema che consente di sbloccare iPhone via web interessa anche il lettore alternativo Foxit Reader, mentre il programma Adobe è completamente immune.
Foxit è comunque corsa rapidamente ai ripari: la versione 4.1, rilasciata proprio in questi giorni, tura anche questa specifica debolezza.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati