hit counter
Vulnerabilità critica in Adobe Reader e Acrobat 8.1.2: aggiornateli appena possibile, manualmente... - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Vulnerabilità critica in Adobe Reader e Acrobat 8.1.2: aggiornateli appena possibile, manualmente...

Vulnerabilità critica in Adobe Reader e Acrobat 8.1.2: aggiornateli appena possibile, manualmente...

  • Comments 11
  • Likes

Sono sempre stato restio ad usare il mio security blog, dichiaratamente focalizzato sulla piattaforma Microsoft, per avvisarvi di vulnerabilità critiche di altri vendor. Il motivo di fondo è semplice ed è sicuramente chiaro a chi mi legge da tempo: per atteggiamento personale preferisco concentrarmi sui progressi significativi dell'impegno di Microsoft sul tema sicurezza, per renderli noti a tutti, piuttosto che puntare il dito e giudicare altri fornitori di tecnologia su come gestiscono lo stesso delicato argomento. Avrete notato che da un po' di tempo ho iniziato a mutare atteggiamento: più ficco il naso nel modo di gestire le problematiche di sicurezza da parte degli altri vendor e più mi convinco che Microsoft possa camminare a testa alta nel panorama delle mega-aziende informatiche, perché tanti sono ben lontani da un approccio adeguato per lo scenario di rischio attuale. A questo punto non lesinerò di segnalarvi aspetti di sicurezza che coinvolgono altri vendor, innanzitutto per stuzzicare un dibattito aperto sulle migliori security best practices da parte delle diverse aziende, e in seconda battuta per darvi modo di giudicare da soli chi si è rimboccato le maniche e chi aspetta a farlo...

Lo spunto di oggi me lo fornisce la lettura del post di Vincenzo Di Russo che segnala l'emissione del Security Bulletin APSB08-15 di Adobe:

A critical vulnerability has been identified in Adobe Reader and Acrobat 8.1.2. This vulnerability would cause the application to crash and could potentially allow an attacker to take control of the affected system. Adobe recommends users of Acrobat 8 and Adobe Reader install the 8.1.2 Security Update 1 patch.

Questa vulnerabilità sembra essere paragonabile come tipologia ad una vulnerabilità di Office, con un paio di differenze. La prima è l'aspetto dei privilegi sfruttabili: in base ai dettagli forniti (non proprio abbondanti) probabilmente i privilegi sfruttabili sono quelli più elevati, stando alla frase sulla possibilità di prendere il controllo del sistema interessato. La seconda differenza sta nell'impatto della base installata: credo che tutti abbiano l'Adobe Reader sul proprio PC, sicuramente più di quanti abbiano Microsoft Office. La possibilità che l'apertura di un file PDF possa installarvi un bel malware a prescindere dal tipo di utenza utilizzata (privilegiata o meno), rende questa vulnerabilità sicuramente da non sottovalutare. Ma non è di questo che volevo parlarvi.

Mi sono soffermato sulle modalità con cui sono venuto a conoscenza della necessità di aggiornamento e quindi sui metodi forniti da Adobe per aggiornarmi. Calandomi nei panni di un utente non tecnico, non ho visto una particolare attenzione all'urgenza di notifica e di distribuzione del Security Update. Vi spiego. Intanto ho saputo di questa vulnerabilità solo tramite le mie fonti informative tecnico-specialistiche: come fa l'utente normale ad essere avvisato di questa criticità? Fosse stata un'analoga vulnerabilità Microsoft ci sarebbe stato già il tam-tam fino a giungere alle testate giornalistiche più diffuse, per Adobe no.

Domanda di carattere generale: come dovremmo affrontare il tema della notifica degli aggiornamenti di sicurezza nel software? Ritenete utile che ci siano, e quindi che tutti gli utenti (anche i non tecnici) imparino ad essere consapevoli di questi meccanismi, o ritenete che le tecnologie debbano evolvere verso un modello in cui l'aggiornamento è automatico e silente?

Ho poi verificato le impostazioni dell'Adobe Updater: il controllo degli aggiornamenti viene provato by-default ogni settimana (si può scegliere di controllare ogni mese ma non ogni giorno: va bene che le vulnerabilità previste sono poche, ma il problema è la finestra di esposizione alle vulnerabilità non il numero delle stesse). Quindi l'utente ignaro rischia di rimanere scoperto per una settimana. Ho provato a sollecitare l'update esplicito della mia versione di Adobe Reader, ma non mi ha proposto l'aggiornamento di sicurezza in questione. 

Non voglio trarre conclusioni sommarie e conto di analizzare meglio questo comportamento, ma sarebbe deludente scoprire che la situazione è esattamente quella che vi ho raccontato. In conclusione, per essere adeguatamente protetto ho dovuto apprendere del problema da fonti tecnico/specialistiche e attrezzarmi manualmente per l'aggiornamento. Con i tempi che corrono (in cui, rispetto ad una vulnerabilità nota, si riesce a produrre il malware che la sfrutta nel giro di poche ore) questa di Adobe vi sembra una security best practice?   

Share this post :
Comments
  • A ruota rispetto al post precedente in cui ho preso spunto da una vulnerabilità di Adobe , vorrei

  • Oggi ho provato a forzare l'aggiornamento di Adobe Reader...

    purtroppo, dopo aver aperto il programma, menù Help non sono riuscito a trovare la possibilità di fare un controllo della presenza di aggiornamenti. Cambio utente, passo all'amministratore, e scopro che la possibilità di controllare gli aggiornamenti è ora disponibile (almeno il controllo lo potevano lasciare anche all'utente limitato).

    Controllo gli aggiornamenti ed effettivamente mi viene proposto il security update. Installato.

  • Bene Sirus, grazie del riscontro: effettivamente anche a me oggi propone il security update 1 (anche se l'ho già messo ieri, e me lo indica tra gli aggiornamenti installati). Non mi è ancora chiaro se l'unico modo per verificare se l'update è presente o meno sia quello di lanciare l'updater, e se vi sia modo per Adobe per sollecitare l'aggiornamento urgente.

  • Questo problema l'ho riscontrato anche io. Più volte ho aggiornato manualmente Adobe Reader ed il programma di aggiornamento continuava a propormi aggiornamenti che avevo già installato.

  • Io sono riuscito ad installarlo manualmente senza problemi. Se riprovo a rifare l'aggiornamento mi dice che non ce ne sono altri disponibili. Rimane il fatto che non si riesce a capire dove sincerarsi dell'effettivo aggiornamento.

  • Per sincerarsi dell'effettivo aggiornamento, basta andare in Installazione Applicazioni.

    Ciao

  • ma non era meglio che Adobe aggiornasse il numero di versione 8.1.x come ha fatto di solito con i precendenti aggiornamenti? Tutto sto casino per una questione di "marketting"... è già il nome "security update 1" è molto cool !

  • Ciao Feliciano, non voglio divagarmi troppo da questo argomento... ma lavorando per un azienda con più di 200 client fare gli aggiornamenti diventa esasperante!! Per microsoft c'è il mio caro wsus 3 sp1, ma per gli altri programmi..... se non ricordo male nel nuovo wsus non si possono integrare anche aggiornamenti per altri programmi??

  • @GST: mi sono fatto la stessa domanda... ;-)... si continua con la politica dello struzzo, assolutamente anacronistica.

    @Marco: rimanendo in ambito Microsoft è necessario evolvere verso System Center Configuration Manager 2007, altrimenti ci sono soluzioni di terze parti, un esempio è Shavlik, che ho citato a proposito del tool MBSA.

  • Avrei voluto intitolare questo post con "La rivincita di Windows Update", ricordando il post

  • Ritengo utile avvisarvi nuovamente dell'opportunità di aggiornare appena possibile la vostra versione

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment