giovedì 12 aprile 2012

Adobe, importante aggiornamento risolve vulnerabilità critiche in Reader


Adobe Systems ha rilasciato le nuove versioni di Adobe Reader 10.xe 9.x, affrontando quattro vulnerabilità di esecuzione di codice arbitrario e realizzando delle modifiche relative alla sicurezza del prodotto, compresa la rimozione del componente Flash Player fornito dal ramo 9.x . Le nuove versioni di Adobe Reader 10.x e 9.x rilasciate, che ora portano rispettivamente i numeri 10.1.3 e 9.5.1, fissano le vulnerabilità  che potrebbero essere sfruttate da un utente malintenzionato per mandare in crash l'applicazione e assumere potenzialmente il controllo del sistema interessato, ha spiegato Adobe nel suo bollettino di sicurezza APSB12-08. Adobe consiglia agli utenti di installare questi aggiornamenti non appena possibile. Gli utenti di Windows e Macintosh possono utilizzare il meccanismo di aggiornamento del prodotto.

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Reader X (10.1.2) e versioni precedenti per Windows e Macintosh, Adobe Reader 9.4.6 e versioni precedenti 9.x per Linux, e Adobe Acrobat X (10.1.2) e versioni precedenti per Windows e Macintosh. Questi indirizzi aggiornano le vulnerabilità del software che potrebbero causare il blocco dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato. Adobe consiglia agli utenti di Adobe Reader X (10.1.2) e versioni precedenti per Windows e Macintosh l'aggiornamento ad Adobe Reader X (10.1.3). Per gli utenti di Adobe Reader 9.5 e versioni precedenti per Windows e Macintosh, che non possono aggiornare ad Adobe Reader X (10.1.3), Adobe ha reso disponibile l'aggiornamento di Adobe Reader 9.5.1.


L'aggiornamento rilasciato porta con sè anche alcune novità. E' stata aggiunta un'Application Programming Interface (API) sia per Adobe Reader / Acrobat e Flash Player per consentire ad Adobe Reader / Acrobat per comunicare direttamente con la versione Netscape Plugin Application Programming Interface (NPAPI) di Flash Player installata sul sistema dell'utente. Dal punto di vista della sicurezza, questo significa che gli utenti i Adobe Reader / Acrobat 9.x non dovranno più aggiornare Adobe Reader / Acrobat ogni volta che Adobe mette a disposizione un aggiornamento per Flash Player. "Ciò sarà particolarmente vantaggioso per i clienti in ambienti gestiti, perché un minor numero di aggiornamenti contribuisce a ridurre l'overhead per l'amministrazione IT", ha dichiarato David Leone, security engineer di Adobe.

Se Adobe Reader 9.5.1 o Acrobat sono installati su un sistema che non ha la versione NPAPI di Flash Player installata e l'utente apre un file PDF che include dei contenuti Flash (SWF), una finestra di dialogo chiederà all'utente di scaricare e installare il Flash Player più recente. Browser come Firefox, Opera e Safari NPAPI utilizzano la versione di Flash Player in contrasto con la versione di Flash Player ActiveX utilizzata da Internet Explorer. Chrome utilizza una versione di Flash Player, anche se esiste una versione NPAPI di Flash Player installata sul sistema. Attualmente Adobe stalavorando per integrare la stessa API in Adobe Reader e Acrobat X. Adobe ha anche modificato il comportamento di default in Adobe Reader e Acrobat 9.5.1 per disabilitare il rendering di contenuti 3D.

Dal momento che la maggior parte degli utenti in genere non aprono i file PDF che includono contenuti 3D in documenti non attendibili (che sono stati precedenti vettori di attacco), Adobe ha disattivato questa funzionalità di default a partire dalla versione 9.5.1. Gli utenti hanno la possibilità di abilitare il contenuto 3D, ma una barra dei messaggi in giallo contrassegnerà i documenti potenzialmente dannosi nel caso che i documenti non attendibili tentano di eseguire il rendering di contenuti 3D. Gli amministratori IT in ambienti gestiti avranno anche la possibilità di trasformare questo comportamento off per i documenti attendibili. Maggiori informazioni sulle due modifiche al rendering del contenuto di cui sopra sono disponibili nelle note di rilascio di Adobe Reader e Acrobat 9.5.1 [PDF].


Infine, Adobe ha deciso di abbandonare la strategia degli aggiornamenti trimestrali, passando ad un ciclo di rilascio più dinamico e collegato al Patch Day Microsoft del Martedì. Adobe continuerà a pubblicare gli aggiornamenti di sicurezza il secondo Martedì del mese e continuerà a  rispondere ai bisogni urgenti come attacchi zero-day con update "fuori ciclo". Gli utenti di Windows e Macintosh possono utilizzare il meccanismo di aggiornamento del prodotto. La configurazione di default è impostata per l'esecuzione automatica degli aggiornamenti a intervalli regolari. Il controllo automatico di aggiornamento può essere attivato manualmente scegliendo Preferenze / Aggiornamenti. Questi aggiornamenti risolvono un integer overflow nella gestione del True Type Font (TTF) che potrebbe portare all'esecuzione di codice (CVE-2012-0774).

Inoltre gli aggiornamenti tisolvono una corruzione della memoria nella gestione JavaScript che potrebbe portare all'esecuzione di codice (CVE-2012-0775). Risolvono un by-pass di sicurezza tramite il programma di installazione di Adobe Reader che potrebbe portare all'esecuzione di codice (CVE-2012-0776). Risolvono una corruzione della memoria nell'API JavaScript che potrebbe portare all'esecuzione di codice (CVE-2012-0777) (Macintosh e Linux). Inoltre è stata eliminato il componente authplay.dll da Adobe Reader 9.5.1. La presenza di questa libreria ha causato in passato alcuni problemi di sicurezza. Gli utenti possono trovare gli aggiornamenti dei prodotti collegandosi al sito ufficiale di Adobe. Ricordiamo che per Windows XP SP2 64 bit e Windows Server 2003 SP2 64 bit è necessario Microsoft Update KB930627.

1 commento: