Adobe ha annunciato di essere al lavoro su un
pacchetto di patch straordinario, al di fuori del classico ciclo di aggiornamenti programmato.
Il motivo è una
falla particolarmente grave in Acrobat e Reader, falla che verrà corretta con il rilascio dell'update nella settimana del
16 agosto.
In un
bollettino di sicurezza diffuso poco tempo fa, Adobe ha dichiarato l'esistenza di un
bug riguardante Adobe Reader 9.3.3 per Windows, Macintosh e UNIX, Adobe Acrobat 9.3.3 per Windows e Macintosh, e Adobe Reader 8.2.3 e Acrobat 8.2.3 per Windows e Macintosh.
Adobe ha classificato la falla come "
critica", il livello più alto delle sua scala, mentre la società di sicurezza
Secunia ha etichettato il bug come "altamente critico", livello quattro su cinque.
La vulnerabilità è stata svelata da
Charlie Miller, analista di Independent Security Evaluators, all'evento sulla sicurezza
Black Hat.
Miller ha la fama di scopritore di bug in ambiente Apple e, negli ultimi 3 anni, si è sempre servito di vulnerabilità in
Safari per prendere il controllo dei
MacBook messi a disposizione dal concorso per hacker
Pwn2Own.
Dei malintenzionati potrebbero sfruttare le falle nei prodotti Adobe per eseguire
codice da remoto: il problema risiede nella gestione di alcuni
font TrueType nei file PDF. A un qualunque hacker basterebbe crearne uno ad hoc e indurre l'utente ad aprirlo per avere accesso al sistema. Per ora, tuttavia, non sono stati riscontrati attacchi che sfruttano questa vulnerabilità .
Il prossimo aggiornamento pianificato da Adobe per i suoi software avverrà il prossimo
12 ottobre. I file PDF, però, sono alla base anche del nuovo modo di "sbloccare" gli iPhone 4 e gli iPad con iOS 4. Forse Adobe ha voluto risolvere queste falle in fretta anche per questo motivo.