Adobe ha rilasciato le nuove versioni di Adobe Reader e Acrobat, al fine di risolvere due falle critiche. Vulnerabilità critiche sono state individuate in Adobe Reader e Acrobat X (10.0.2) e 10.xe 9.x versioni precedenti per i sistemi operativi Windows e Macintosh. Queste vulnerabilità, tra cui il codice CVE-2011-0611, come indicato nel Security Advisory APSA11-02, potrebbero causare un crash e potenzialmente consentire ad un malintenzionato di prendere il controllo del sistema interessato. Ci sono rapporti che una delle vulnerabilità, CVE-2011-0611, viene attivamente sfruttata sia contro Adobe Flash Player e Adobe Reader e Acrobat, così come attraverso un file Flash (.swf) incorporato in Microsoft Word (.doc) o Microsoft Excel (.xls) fornita come allegato e-mail targeting la piattaforma Windows. Adobe Reader X Protected Mode potrebbe impedire l'esecuzione di un exploit di questo tipo.
Adobe consiglia agli utenti di Adobe Reader X (10.0.2) per Macintosh l'aggiornamento ad Adobe Reader X (10.0.3). Per gli utenti di Adobe Reader 9.4.3 per Windows e Macintosh, Adobe ha reso disponibile l'aggiornamento, Adobe Reader 9.4.4. Adobe consiglia agli utenti di Adobe Acrobat X (10.0.2) per Windows e Macintosh aggiornamento ad Adobe Acrobat X (10.0.3). Adobe consiglia agli utenti di Adobe Acrobat 9.4.3 per Windows e Macintosh aggiornamento ad Adobe Acrobat 9.4.4. Perché Adobe Reader X Protected Mode impedirebbe azioni che hanno come target l'esecuzione della CVE-2011-0611, al momento Adobe sta pensando di affrontare questi problemi in Adobe Reader X per Windows con il prossimo aggiornamento trimestrale di sicurezza per Adobe Reader, attualmente previsto per il 14 giugno , 2011. Oggi gli aggiornamenti di sicurezza sono out-of-cycle.
VERSIONI DEL SOFTWARE INTERESSATE
Adobe Reader X (10.0.1) e versioni precedenti per Windows
Adobe Reader X (10.0.2) e versioni precedenti per Macintosh
Adobe Acrobat X (10.0.2) e versioni precedenti per Windows e Macintosh
NOTA: Adobe Reader 9.x per UNIX, Adobe Reader per Android, e Adobe Reader e Acrobat 8.x non sono interessati dalla CVE-2.011-0.611.
SOLUZIONE
Adobe consiglia agli utenti di aggiornare le proprie installazioni software seguendo le istruzioni riportate di seguito:
Adobe Reader
Gli utenti Windows e Macintosh possono utilizzare meccanismo di aggiornamento del prodotto. La configurazione di default è impostata per eseguire controlli di aggiornamento automatico a intervalli regolari. controlli di aggiornamento può essere attivata manualmente scegliendo Aiuto> Controlla aggiornamenti.
Gli utenti di Adobe Reader per Windows 9.x può anche trovare l'aggiornamento appropriato qui:
Gli utenti di Adobe Reader 10.xe 9.x per Macintosh possono anche trovare l'aggiornamento appropriato qui:
Dato che la Modalità protetta di Adobe Reader X (10.x) potrebbe impedire ad un exploit di questo tipo di essere eseguito, Adobe sta pensando per affrontare questo problema in Adobe Reader X per Windows con il prossimo aggiornamento trimestrale di sicurezza per Adobe Reader, attualmente prevista per il 14 giugno 2011
Adobe Acrobat
Gli utenti possono utilizzare meccanismo di aggiornamento del prodotto. La configurazione di default è impostato per eseguire controlli di aggiornamento automatico a intervalli regolari. controlli di aggiornamento può essere attivata manualmente scegliendo Aiuto> Controlla aggiornamenti.
Acrobat Standard e Pro e 10.x 9.x gli utenti Windows possono anche trovare l'aggiornamento appropriato qui:
Acrobat Pro Extended 9.x gli utenti di Windows possono anche trovare l'aggiornamento appropriato qui:
Gli utenti di Acrobat Pro per Macintosh possono anche trovare l'aggiornamento appropriato qui:
LIVELLO DI GRAVITÀ
Adobe classifica queste come aggiornamenti critici e consiglia agli utenti interessati di aggiornare le proprie installazioni alle nuove versioni.
Adobe desidera ringraziare le seguenti persone e organizzazioni per aver segnalato i problemi specifici, e per lavorare con Adobe per aiutare a proteggere i propri clienti:
Mila Parkour, http://contagiodump.blogspot.com/ (CVE-2011-0611)
CERT Polska, http://www.cert.pl/ (CVE-2011-0610)
Baccas Paolo di Sophos http://www.sophos.it/ (CVE-2011-0610)
Nessun commento:
Posta un commento