Spunta una vulnerabilità vecchia di 6 anni nei PDF viewer


La falla di sicurezza affligge quasi tutti i software in circolazione, con l’esclusione di OS X e Adobe. Ora la corsa all’aggiornamento.

La prima volta che è stata individuata era il 2011 e sembrava interessasse soltanto un componente di Evinence, un’app per la visualizzazione di documenti in formato PDF su piattaforma Linux.

Secondo il ricercatore Hanno Böck, però, la stessa falla interesserebbe la maggior parte dei visualizzatori oggi in circolazione, compresi quelli utilizzati nei browser.

Il bug permette di provocare un loop che esaurisce le risorse del processore e si trasforma in buona sostanza in uno strumento per portare un attacco DoS (Denial of Service) al browser.

Certo, non si tratta di una falla clamorosa e, in particolare, è piuttosto difficile che qualcuno possa trasformarla in un vero e proprio exploit. In ogni caso rimane un problema con cui è necessario fare i conti.

vulnerabilità PDF

Mandare in crash un browser usando un file PDF può essere usato come vettore di attacco? Al momento non sembra, ma non si sa mai…

Böck ha individuato il problema nel componente integrato in Chrome (PDFium) così come in quello utilizzato da Firefox, in questo caso nella libreria usata per visualizzare i file in formato PDF senza l’uso di plugin. Sia Google che Mozilla hanno comunque già reso disponibili gli update che risolvono il problema.

L’elenco delle vittime comprende (ovviamente) Microsoft Edge, per il quale però non sembra sia ancora pronto il fix. Immuni, invece, lo storico Acrobat Reader di Adobe e il software Apple integrato in OS X.

Difficile capire quanto il bug possa impattare sui tanti software per la visualizzazione e la gestione dei PDF in circolazione. Il ricercatore tedesco, in ogni caso, ha pubblicato su GitHub un file di test che permette agli sviluppatori di eseguire i test per verificare la “tenuta” delle app.



Articoli correlati

Altro in questa categoria


Patch day Febbraio 2013 – Microsoft e Adobe

Microsoft - Adobe - patch day

Patch day sia per Microsoft che per Adobe: Microsoft ne sforna 12 !

http://technet.microsoft.com/it-it/security/bulletin/ms13-009
http://technet.microsoft.com/it-it/security/bulletin/ms13-010
http://technet.microsoft.com/it-it/security/bulletin/ms13-011
http://technet.microsoft.com/it-it/security/bulletin/ms13-012
http://technet.microsoft.com/it-it/security/bulletin/ms13-013
http://technet.microsoft.com/it-it/security/bulletin/ms13-014
http://technet.microsoft.com/it-it/security/bulletin/ms13-015
http://technet.microsoft.com/it-it/security/bulletin/ms13-016
http://technet.microsoft.com/it-it/security/bulletin/ms13-017
http://technet.microsoft.com/it-it/security/bulletin/ms13-018
http://technet.microsoft.com/it-it/security/bulletin/ms13-019
http://technet.microsoft.com/it-it/security/bulletin/ms13-020

http://www.adobe.com/support/security/bulletins/apsb13-05.html
http://www.adobe.com/support/security/bulletins/apsb13-06.html