Vulnerabilità critica in Adobe Reader e Acrobat 8.1.2: aggiornateli appena possibile, manualmente...

Sono sempre stato restio ad usare il mio security blog, dichiaratamente focalizzato sulla piattaforma Microsoft, per avvisarvi di vulnerabilità critiche di altri vendor. Il motivo di fondo è semplice ed è sicuramente chiaro a chi mi legge da tempo: per atteggiamento personale preferisco concentrarmi sui progressi significativi dell'impegno di Microsoft sul tema sicurezza, per renderli noti a tutti, piuttosto che puntare il dito e giudicare altri fornitori di tecnologia su come gestiscono lo stesso delicato argomento. Avrete notato che da un po' di tempo ho iniziato a mutare atteggiamento: più ficco il naso nel modo di gestire le problematiche di sicurezza da parte degli altri vendor e più mi convinco che Microsoft possa camminare a testa alta nel panorama delle mega-aziende informatiche, perché tanti sono ben lontani da un approccio adeguato per lo scenario di rischio attuale. A questo punto non lesinerò di segnalarvi aspetti di sicurezza che coinvolgono altri vendor, innanzitutto per stuzzicare un dibattito aperto sulle migliori security best practices da parte delle diverse aziende, e in seconda battuta per darvi modo di giudicare da soli chi si è rimboccato le maniche e chi aspetta a farlo...

Lo spunto di oggi me lo fornisce la lettura del post di Vincenzo Di Russo che segnala l'emissione del Security Bulletin APSB08-15 di Adobe:

A critical vulnerability has been identified in Adobe Reader and Acrobat 8.1.2. This vulnerability would cause the application to crash and could potentially allow an attacker to take control of the affected system. Adobe recommends users of Acrobat 8 and Adobe Reader install the 8.1.2 Security Update 1 patch.

Questa vulnerabilità sembra essere paragonabile come tipologia ad una vulnerabilità di Office, con un paio di differenze. La prima è l'aspetto dei privilegi sfruttabili: in base ai dettagli forniti (non proprio abbondanti) probabilmente i privilegi sfruttabili sono quelli più elevati, stando alla frase sulla possibilità di prendere il controllo del sistema interessato. La seconda differenza sta nell'impatto della base installata: credo che tutti abbiano l'Adobe Reader sul proprio PC, sicuramente più di quanti abbiano Microsoft Office. La possibilità che l'apertura di un file PDF possa installarvi un bel malware a prescindere dal tipo di utenza utilizzata (privilegiata o meno), rende questa vulnerabilità sicuramente da non sottovalutare. Ma non è di questo che volevo parlarvi.

Mi sono soffermato sulle modalità con cui sono venuto a conoscenza della necessità di aggiornamento e quindi sui metodi forniti da Adobe per aggiornarmi. Calandomi nei panni di un utente non tecnico, non ho visto una particolare attenzione all'urgenza di notifica e di distribuzione del Security Update. Vi spiego. Intanto ho saputo di questa vulnerabilità solo tramite le mie fonti informative tecnico-specialistiche: come fa l'utente normale ad essere avvisato di questa criticità? Fosse stata un'analoga vulnerabilità Microsoft ci sarebbe stato già il tam-tam fino a giungere alle testate giornalistiche più diffuse, per Adobe no.

Domanda di carattere generale: come dovremmo affrontare il tema della notifica degli aggiornamenti di sicurezza nel software? Ritenete utile che ci siano, e quindi che tutti gli utenti (anche i non tecnici) imparino ad essere consapevoli di questi meccanismi, o ritenete che le tecnologie debbano evolvere verso un modello in cui l'aggiornamento è automatico e silente?

Ho poi verificato le impostazioni dell'Adobe Updater: il controllo degli aggiornamenti viene provato by-default ogni settimana (si può scegliere di controllare ogni mese ma non ogni giorno: va bene che le vulnerabilità previste sono poche, ma il problema è la finestra di esposizione alle vulnerabilità non il numero delle stesse). Quindi l'utente ignaro rischia di rimanere scoperto per una settimana. Ho provato a sollecitare l'update esplicito della mia versione di Adobe Reader, ma non mi ha proposto l'aggiornamento di sicurezza in questione. 

Non voglio trarre conclusioni sommarie e conto di analizzare meglio questo comportamento, ma sarebbe deludente scoprire che la situazione è esattamente quella che vi ho raccontato. In conclusione, per essere adeguatamente protetto ho dovuto apprendere del problema da fonti tecnico/specialistiche e attrezzarmi manualmente per l'aggiornamento. Con i tempi che corrono (in cui, rispetto ad una vulnerabilità nota, si riesce a produrre il malware che la sfrutta nel giro di poche ore) questa di Adobe vi sembra una security best practice?   

Share this post :

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS