Vai al contenuto
Adobe tura 17 falle, ma una resta aperta

Adobe tura 17 falle, ma una resta aperta

Sistemate 17 magagne di Adobe Acrobat e Reader, ma è meglio disabilitare Javascript lo stesso

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Il 29 giugno scorso Adobe ha rilasciato un aggiornamento di Adobe Reader e Acrobat, i popolari programmi di lettura e generazione di documenti in formato PDF installati sul 90% dei computer. L’aggiornamento corregge 17 vulnerabilità documentate e attivamente sfruttate per attacchi che riguardano gli utenti Windows, Mac e UNIX.

Fra le falle turate c’è (almeno secondo Adobe) quella descritta dal ricercatore di sicurezza Didier Stevens ad aprile scorso, che permetteva di infettare un computer inducendo l’utente semplicemente ad aprire un documento PDF appositamente confezionato. Ma un altro ricercatore, il vietnamita Le Manh Tung, ha scoperto che il rattoppo è aggirabile semplicemente mettendo le virgolette intorno al comando ostile usato per infettare il computer della vittima. Questa falla, quindi, rimane aperta, anche se diventa più difficile ingannare la vittima, ma si chiudono le altre.

L’aggiornamento porta Reader e Acrobat alla versione 9.3.3 per Windows, Macintosh e UNIX. Per gli utenti Windows e Mac che non possono aggiornarsi alla versione 9.3.3, esiste un aggiornamento della versione 8, denominata 8.2.3. Le falle sono considerate critiche e Adobe raccomanda agli utenti di aggiornare il proprio software. La procedura di aggiornamento è di norma automatica.

Nonostante la raffica di rattoppi, alcuni esperti consigliano di disattivare comunque Javascript in questi due programmi, perché le vulnerabilità recenti hanno come elemento ricorrente comune proprio il Javascript, che in Reader e Acrobat è abilitato per default. Meglio non correre rischi, anche perché è raro usare Javascript in questo modo. Disabilitarlo è semplice: si va nelle preferenze di ciascun programma, si sceglie la categoria Javascript e si clicca sulla casella di abilitazione del Javascript in modo da far sparire il suo segno di spunta. Infine si clicca su OK per attivare le nuove impostazioni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
PDF trappola, non c’è tregua

PDF trappola, non c’è tregua

Un PDF può diventare un worm

Mi sa che è ora di riscrivere la regola 11 del mio piccolo dodecalogo. Non mi lamento: ha retto benino per quasi sette anni, che in informatica sono un’eternità. Ma il consiglio di usare PDF come formato di scambio sicuro di documenti sta diventando una trappola.

The Register segnala che Didier Stevens, ricercatore di sicurezza, ha dimostrato che è possibile annidare codice ostile eseguibile – un virus, insomma – all’interno di un documento PDF. Aprendo un documento del genere con Adobe Reader, normalmente compare una finestra di dialogo che chiede all’utente se vuole procedere, ma Stevens è riuscito a manipolarne il testo in modo che inganni buona parte degli utenti. Disabilitare Javascript è inutile e non è possibile rimediare aggiornando Reader, perché secondo Stevens non si tratta di una vulnerabilità, ma soltanto di un uso “creativo delle specifiche del linguaggio PDF”. Sono disponibili un video e un PDF dimostrativo.

Stevens ha già condiviso la propria scoperta con Adobe, nella speranza che venga trovata una soluzione. I programmi alternativi di lettura di documenti PDF non se la cavano meglio: fino a pochi giorni fa, Foxit Reader non visualizzava nessun avviso (il problema è stato corretto con la versione 3.2.1, rilasciata il primo d’aprile, secondo questa comunicazione).

Il problema è appunto che l’esecuzione di applicazioni e di Javascript e l’invio di dati a un URL (quindi, per esempio, a un sito Internet) fa parte delle specifiche del formato PDF (tabella 198 delle specifiche stesse, segnalata da F-Secure).

Jeremy Conway di NitroSecurity ha rincarato la dose, partendo dalla segnalazione di Stevens e dimostrando come sia possibile infettare un documento PDF in modo che infetti tutti gli altri PDF del computer e della rete locale (per esempio quella aziendale) in modo invisibile all’utente: un documento PDF diventa insomma un worm. Lo spiegone e il video sono qui su Sudosecure.net (nome quanto mai azzeccato, visto che questa magagna farà sudare di sicuro molti utenti).

Che fare? In attesa che i produttori di software di lettura dei documenti PDF trovino una soluzione, F-Secure consiglia di non aprire i documenti PDF sul proprio computer, ma di visualizzarli tramite servizi come Google Documenti: un’operazione automatizzabile mediante plug-in per i browser, come gPDF (usabile in Chrome, Opera, Firefox e Iron, che è una variante meno ficcanaso di Chrome/Chromium) per i documenti PDF che trovate online, oppure usando un programma di lettura di PDF poco diffuso, sulla base del principio che un programma poco conosciuto sarà oggetto di minore interesse da parte degli aggressori. Conway suggerisce invece l’uso di un programma di lettura minimalista, che non supporti le funzioni avanzate delle specifiche PDF.

Come dargli torto: l’errore di fondo è che l’evoluzione delle specifiche PDF ha snaturato il formato, che era nato per consentire la visualizzazione universale di documenti ma ora ha trasformato i documenti in file eseguibili. Sarò un informatico vecchio stile, ma non mi sembra eccessivo o retrogrado chiedere che un documento resti un documento e non si travesta da programma, visti i rischi che ne derivano. In altre parole, less is more: avere meno funzioni significa avere più sicurezza.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Estensioni per Firefox: come usarle, quali usare

Potenziate il vostro Firefox con le estensioni

Questo articolo vi arriva grazie alle gentili donazioni di “giampiero.rei****” e “ziobusy.pn”.

Firefox è un gran bel browser, ma ha molte potenzialità poco sfruttate. Una di queste potenzialità è data dall’uso delle estensioni: veri e propri moduli aggiuntivi che si scaricano e si installano all’interno di Firefox e permettono di fare varie magie.

Per esempio, volete visualizzare sotto forma di icone tutte le pagine Web che avete aperto nelle varie schede di Firefox, come fa Internet Explorer 7? Nessun problema: scaricate e installate Firefox Showcase. Cliccando sul menu Visualizza e poi su Showcase otterrete l’effetto desiderato.

Installare un’estensione è molto semplice: la scaricate cliccando sul suo link presso siti come Addons.mozilla.org o (se preferite l’italiano) Extenzilla.org. Se compare un avviso che dice che Firefox ha impedito al sito di richiedere l’installazione (cosa giusta, perché è una protezione di sicurezza), cliccate su Modifica opzioni e poi su Permetti. Fatto questo, la richiesta non comparirà più per quel sito.

Cliccate sul link di nuovo, se necessario. Compare una finestra che chiede se volete accettare l’installazione: leggete bene le avvertenze e, se è tutto a posto, cliccate su Installa adesso (mi raccomando, fatelo soltanto con i siti fidati!) e riavviate Firefox. Tutto qui. Queste istruzioni valgono per Firefox 2.0 a prescindere dal sistema operativo. Ed è questo il bello delle estensioni: con pochissime eccezioni sono universali e funzionano sia sotto Windows, sia sotto Mac, sia sotto Linux.

Ho raccolto qui alcune delle estensioni più interessanti che ho trovato in Rete, giusto per stuzzicarvi l’appetito:

  • Se usate Firefox su più di un computer, vi sarete accorti che vi trovate spesso senza i vostri link preferiti: sono sistematicamente nell’altro computer quando vi servono. Provate allora Google Browser Sync, che sincronizza i bookmark (i “preferiti”), le sessioni, i cookie persistenti, le password e la cronologia in modo configurabile: l’unico requisito è avere un account su Google.
  • Se siete navigatori incalliti e volete comandare completamente Firefox usando i gesti del mouse, c’è All-in-One Gestures: una volta installata, quest’estensione permette per esempio di tornare a una pagina precedente tenendo premuto il tasto destro e spostando il mouse lievemente a sinistra.
  • Per le pagine pestifere che funzionano soltanto con Internet Explorer, usate IE Tab, che colloca nella riga di stato un’iconcina che attiva il motore di rendering di Internet Explorer al posto di quello di Firefox. Questa è una delle poche estensioni che funziona soltanto sotto Windows, per l’ovvia ragione che Internet Explorer è disponibile ormai soltanto per questo sistema operativo.
  • Vi infastidisce la finestra che Firefox apre tutte le volte che scaricate qualche file? Installate l’estensione Download Statusbar, che elimina la finestra e la sostituisce con una riga di stato discreta e informativa sul bordo inferiore della finestra di Firefox.
  • Se poi volete bloccare le pubblicità, che ultimamente sono diventate multimediali e quindi più pesanti da scaricare, non posso che consigliarvi il mitico Adblock Plus, e se avete la “Sindrome da Safari” (il browser Mac che visualizza direttamente i documenti PDF), installate PDF Download, in italiano: Acrobat Reader deve però essere già installato.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Adobe Acrobat e Reader, nuova falla, nuovo aggiornamento

Adobe Acrobat e Reader, nuova falla, nuovo aggiornamento

Acrobat e Reader di nuovo fallati e da aggiornare

È passato poco più di un mese dall’ultimo aggiornamento di Adobe Acrobat e Reader, popolarissimi programmi per la generazione e lettura di file PDF, ed è già ora di aggiornarli ancora, sia che usiate Windows, sia che usiate Mac o UNIX. Get Safe Online segnala infatti che c’è una vulnerabilità definita “critica” in Adobe Reader 9.3 per Windows, Mac e Unix, in Adobe Acrobat per Windows e Mac, e in Adobe Reader 8.2 e Acrobat 8.2 per Windows e Mac.

Il bollettino di sicurezza di Adobe aggiunge che c’è anche un’altra falla che può far andare in crash l’applicazione e potrebbe consentire a un aggressore di prendere il controllo del computer interessato.

Adobe consiglia agli utenti di queste versioni dei suoi prodotti di aggiornarsi rispettivamente alle versioni 9.3.1 e 8.2.1, utilizzando la funzione di aggiornamento automatico di questi programmi oppure scaricando manualmente l’aggiornamento di Reader nelle rispettive versioni Windows, Mac e UNIX e di Acrobat per Windows (Standard/Pro, Pro Extended, 3D) e Mac.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Acrobat da aggiornare

Falla Acrobat turata, aggiornatevi alla versione 9.3 o 8.2

Questo articolo vi arriva grazie alle gentili donazioni di “paume” e “g.andr****”.

La falla Javascript critica in Adobe Reader e Acrobat segnalata prima di Natale è stata sistemata: permetteva di mandare in tilt il software e offriva un appiglio per intrusioni informatiche. Non era un rischio teorico, visto che era già sfruttata da alcuni criminali informatici.

Adobe ha pubblicato una nuova versione dei due programmi che corregge la magagna: è la 9.3 per Windows, Mac e Unix. E’ disponibile anche un aggiornamento per chi è rimasto affezionato alla versione 8: è la versione 8.2.

Tutti questi aggiornamenti sono scaricabili seguendo i link forniti da Adobe. Resta comunque valido il consiglio di non attivare Javascript in Acrobat se non è strettamente indispensabile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Acrobat e Reader, falla Javascript

Acrobat e Reader, falla Javascript

Usate Acrobat o Reader? Meglio disabilitare Javascript in entrambi

Leggi un PDF e t’infetti. Sembra impossibile, visto che il PDF è un formato di sola lettura, eppure nei programmi Acrobat 9.2 e Reader 9.2 di Adobe, che gestiscono questo formato, c’è una falla critica, classificata come CVE-2009-4324 e segnalata qui da Adobe, che viene già sfruttata dai criminali online per installare software ostile sui computer delle vittime inconsapevoli del rischio.

La falla riguarda le versioni Windows, Macintosh e Unix del popolarissimo Reader gratuito e le versioni Windows e Mac di Acrobat (sì, sono a rischio anche i Mac). La correzione non sarà pronta prima del 12 gennaio prossimo, secondo quanto annunciato da Adobe.

Fino a quella data, se usate questi programmi e non volete essere esposti a questa vulnerabilità dovete disattivare le loro opzioni Javascript andando nelle loro preferenze, scegliendo la categoria Javascript e cliccando sulla casella di abilitazione del Javascript in modo da far sparire il suo segno di spunta.

Più in generale, è molto raro aver bisogno di usare Javascript dentro un documento PDF, per cui vi conviene tenere comunque Javascript disattivato nel Reader. Se per qualche ragione abbastanza insolita avete bisogno di tenerlo attivato ma volete comunque ridurre i rischi dovuti alla falla, potete usare i consigli tecnici provvisori di Adobe.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Occhio ai Javascript nei PDF con Acrobat

Falla nei PDF, disattivate Javascript nel vostro lettore

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Uno dei vantaggi del formato PDF, popolarissimo per la distribuzione digitale di documenti, è sempre stata la sua sicurezza: non poteva essere usato come vettore di infezioni o di attacchi informatici (come vettore di scemenze letterarie sì, ma questa è un’altra storia). Non è più così.

Arriva infatti dal sito di sicurezza informatica Shadowserver.com la segnalazione di un vulnerabilità “molto grave” in Adobe Acrobat Reader, uno dei più diffusi programmi per la lettura di questo formato PDF, e specificamente nelle sue versioni 8 e 9; non è ancora confermata la vulnerabilità del programma Acrobat completo (quello usato per generare e modificare i documenti PDF) è stata confermata dopo la prima stesura di questo articolo.

Sono già in corso attacchi basati su questa vulnerabilità, che viene scatenata utilizzato le funzioni Javascript presenti nel programma: la vittima riceve un PDF appositamente confezionato e il suo computer va in tilt in vari modi a seconda del sistema operativo e della quantità di memoria installata, permettendo l’esecuzione di codice ostile a piacimento dell’aggressore.

La soluzione, in attesa del rattoppo da parte di Adobe, è disabilitare Javascript nel programma: in questo modo, un PDF infetto farà crashare il Reader ma non farà altri danni. Per eseguire questa disabilitazione basta andare in Modifica – Preferenze – Javascript e disattivare la casella dedicata al Javascript (Edit -> Preferences -> JavaScript, disattivare Enable Acrobat JavaScript). I principali antivirus sono già in grado di rilevare questo tipo di attacco.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.