È di qualche giorno fa la notizia relativa ad un pericoloso bug che interessa il formato PDF e la diffusione di un exploit funzionante per Adobe Reader e Foxit Reader.
Adobe dal canto suo ha confermato la vulnerabilità nel proprio prodotto e ha proposto un possibile workaround per “limitare i danni”.
La funzionalità “incriminata”, lo ricordiamo, è quella di esecuzione azione/file che permette di lanciare degli script o degli eseguibili, incorporati all’interno dei file PDF stessi.
La vulnerabilità individuata può essere sfruttata per effettuare la propagazione su larga scala di worm PDF-based, come dimostrato in un video del blogger Jeremy Conway.
Adobe consiglia dunque agli utenti di disattivare l’opzione “Consenti apertura di file allegati diversi da PDF con applicazioni esterne” dal menu “Modifica/Preferenze/Gestore affidabilità”.
Si tratta di una opzione attivata di default e che una volta disabilitata rende l’exploit presentato inefficace. Anche il software Adobe Acrobat è interessato dal medesimo problema e la soluzione consigliata è la stessa.
Per quanto riguarda gli amministratori di sistema il consiglio è quello di creare la seguente chiave di registro all’interno dei sistemi utenti interessati, al fine di disabilitare l’opzione.
HKEY_CURRENT_USERSoftwareAdobeAcrobat ReaderOriginals
Name: bAllowOpenFile
Type: REG_DWORD
Data: 0
Come misura aggiuntiva, per evitare che un utente la riattivi, si consiglia di creare anche la seguente chiave:
HKEY_CURRENT_USERSoftwareAdobeAcrobat ReaderOriginals
Name: bSecureOpenFile
Type: REG_DWORD
Data: 1
La posizione di Adobe circa un potenziale fix, da rendere disponibile tramite update, è ancora incerta.
Tramite infatti Steve Gottwals, product manager di Adobe, la società fa capire che la funzionalità di per sé è utile e diventa un problema solo quanto utilizza in maniera errata.
Va ricordato infatti che mentre Adobe Reader avverte l’utente circa il tentativo di attivare uno script allegato o un eseguibile, Foxit Reader non dava alcuna informazione a riguardo.
Sicuramente più problematica dunque la situazione di “Foxit Software”, che comunque ha già provveduto a rilasciare un aggiornamento: ora il programma informa l’utente del tentativo di esecuzione di eventuali file allegati.
Quel che è certo è che sia Core Security sia il ricercatore Thierry Zoller individuarono e segnalarono il problema riguardante il mancato warning in Foxit già ad inizio 2009, in due segnalazioni distinte e indipendenti. Resta dunque un mistero il perché la società abbia provveduto solo ora a correggerlo.
