Link alla notizia: http://www.hwupgrade.it/news/sicurezza/adobe-conferma-il-problema-di-sicurezza-in-acrobat-reader-81_22829.html

Adobe conferma il problema relativo a Acrobat Reader 8.1: patch risolutiva entro poche settimane

Click sul link per visualizzare la notizia.

Ho dato uno sguardo al bullettin, che viene definito critico (Adobe categorizes this as a critical issue and recommends that users apply the workaround described above for their product installations.).

Adobe suggerisce di intervenire sul registro di sistema, in particolare sui parametri mailto:

Ciò potrebbe significare che la vulnerabilità riguarda l'invio di mail (contenenti chissà che cosa...) verso il malintenzionato.

Sembrerebbe, però, che basta non cliccare su eventuali indirizzi e-mail o web-link per evitare problemi.

O no?

Questa non la spaevo, ora bisogna fare attenzione anche quando si apre un file pdf :mad:
speriamo che pongano rimedio al più presto

Ragazzi non so voi, ma io non ne posso più di programmi buggati, "criticità critiche" ecc. ecc. Questo comporta un dover stare attenti in continuazione, ma non basta esserlo solo quando sei fuori con il mondo? Pure quando ti rilassi un pò a navigare, lì devi stare superattento! :doh:
Comunque dovrebbe trattarsi di un file PDF appositamente creato e l'utente dovrebbe cliccare sull'indirizzo per spedire probabilmente suoi dati sensibili al furbetto del momento...

I sw hanno dei bug da quando esistono i sw. La perfezione non esiste. E la maggioranza degli utenti li usa tranquillamente senza essere influenzata da questi bug.
Il problema è un altro: i sw diventano sempre più complessi, Internet sempre più presente, on line sempre più spesso (intendo la modalità di funzionamento dei più svariati tipi di sw). Una volta era impensabile che un utente remoto potesse accedere ad un computer grazie a certe operazioni, come la visualizzazione di un PDF, svolte nel computer remoto. Questo è negativo!

Bello !

a quanto ho capito leggendo il bullettin di Adobe, anche chi ha windows 2000 o ha XP senza explorer 7 installato non è affetto dal bug di sicurezza di cui sopra ;) !

Quindi è un bug dell' accoppiata explorer 7 + Acrobat su piattaforma XP !

Explorer 7 ... bel programma si !

Quando non fa danno coadiuva !

;)

Saluti

Gyxx

Scusate... ma... almeno voi! Acrobat Reader 8.1 non esiste. Acrobat Reader non esiste più da anni. Esistono Adobe Reader e Adobe Acrobat. Un pochino di precisione!

Comincio a capire perchè mi hanno spammato un file pdf...
Credevo che fosse il solito exe sotto copertura, invece...

Non possono fare uscire Adobe 8.1.5? Devono aspettare per forza 3 settimane? Mah

Credo che vogliano ridolvere anche il problema della creazione di pdf da office 2007

Scusate... ma... almeno voi! Acrobat Reader 8.1 non esiste. Acrobat Reader non esiste più da anni. Esistono Adobe Reader e Adobe Acrobat. Un pochino di precisione!

Professore, posso portare la giustifica, non ho studiato :rolleyes:
Ritornando IT, se l'accoppiata micidiale è IE + Acrobat (tanto non ho studiato :fagiano: ), firefox dovrebbe garantirci contro il problema?

Ritornando IT, se l'accoppiata micidiale è IE + Acrobat, firefox dovrebbe garantirci contro il problema?

A quanto scrive la Adobe si e no ...

mi spiego : viene sfruttata una falla derivante dall' installazione di IE7 e una falla di Acrobat 8.1 .....

se usi Firefox e NON hai installato Explorer 7 sei apposto (idem se usi sVista, probabilmente xchè l'exploit crasha :rotfl: ), non a caso i sistemi Win 2000 sono OK (NON ci puoi installare IE7)

se usi firefox ed hai installato IE7 su piattaforma XP sei vulnerabile ....

almeno a quanto ho potuto capire io da quanto scritto nella pagina Adobe.

Probabilmente il codice malevolo sfrutta i comandi dati da Acrobat al browser.

se così fosse , FORSE mettendo come browser di default Firefox risolveresti lo stesso, strano xò che in questo caso non abbiano menzionato questa semplcie soluzione ........

ciao, se qualcuno ne sapesse un po di + e ci chiarisse le idee sarebbe + che benvenuto, IMHO !

;)

Gyxx

E se NON si ha IE7 ma IE6?
E le versioni 5. 6. 7. di reader/acrobat?
E se si ha un processore "protetto dai buffer underrun" (come ormai tutti da anni)?

Che bollettino poco chiaro :(

Toh che strano... UN bug che coinvolge SOLO windows xp... Non so perchè ci vedo qualcosa di losco sotto...
In ogni caso io non uso Adobe Reader, ma foxit reader. Non richiede installazione, è molto leggero e gratuito (come l'adobe reader). Non sarà sicuramemte esente da bug, ma dato che lo conoscono in pochi dubito che verrà mai sfruttato a pieno.

E se NON si ha IE7 ma IE6?
E le versioni 5. 6. 7. di reader/acrobat?
E se si ha un processore "protetto dai buffer underrun" (come ormai tutti da anni)?

Che bollettino poco chiaro :(

veramente le cose da questo punto di vista NON sono affatto poco chiare.

Se clicchi sul link al bollettino adobe, che x semplicità ti riporto anche qui http://www.adobe.com/support/security/advisories/apsa07-04.html

vedi che è tutto spiegato molto bene.

Security advisory
Workaround available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat
Release date: October 5, 2007

Vulnerability identifier: APSA07-04

CVE number: CVE-2007-5020

Platform: Windows XP (Vista users are not affected) with Internet Explorer 7 installed

Affected Software Versions Adobe Reader 8.1 and earlier versions
Adobe Acrobat Standard, Professional and Elements 8.1 and earlier versions
Adobe Acrobat 3D

sono affette TUTTE le versioni di acrobat fatte sino ad ora, se si usa come piattaforma XP con IE7 , altrimenti nisba.

La falla è nel comando mailto di acrobat, non serve a nulla il processore protetto ;). E poi che tutti noi lo posseggano, questo è MOOOOLTO opinabile (ad esempio io non ce l'ho e non ne sento manco il bisogno :D )

quel che ci chiedevamo, semmai, è se l'uso di firefox come predefinito possa egualmente bloccare l'exploit o se invece basti la semplice installazione di IE7 sul sitema a aprire la porta x l'exploit.

Ciao

;9

Gyxx

A quanto scrive la Adobe si e no ...

mi spiego : viene sfruttata una falla derivante dall' installazione di IE7 e una falla di Acrobat 8.1 .....

se usi Firefox e NON hai installato Explorer 7 sei apposto (idem se usi sVista, probabilmente xchè l'exploit crasha :rotfl: ), non a caso i sistemi Win 2000 sono OK (NON ci puoi installare IE7)

se usi firefox ed hai installato IE7 su piattaforma XP sei vulnerabile ....

almeno a quanto ho potuto capire io da quanto scritto nella pagina Adobe.

Probabilmente il codice malevolo sfrutta i comandi dati da Acrobat al browser.

se così fosse , FORSE mettendo come browser di default Firefox risolveresti lo stesso, strano xò che in questo caso non abbiano menzionato questa semplcie soluzione ........

ciao, se qualcuno ne sapesse un po di + e ci chiarisse le idee sarebbe + che benvenuto, IMHO !

;)

Gyxx

Hai colto i miei pensieri, siamo sulla stessa linea di pensiero: ho firefox predefinito, tuttavia sospetto che firefox, basandosi su IE, non risolva il problema. Non a caso quando lo installi ti chiede se vuoi esportare il materiale da IE. Ancora: se fai casino nel pannello connessioni di IE anche ff ne risente... secondo me anche con FF non la risolviamo la vulnerabilità

Hai colto i miei pensieri, siamo sulla stessa linea di pensiero: ho firefox predefinito, tuttavia sospetto che firefox, basandosi su IE, non risolva il problema. Non a caso quando lo installi ti chiede se vuoi esportare il materiale da IE. Ancora: se fai casino nel pannello connessioni di IE anche ff ne risente... secondo me anche con FF non la risolviamo la vulnerabilità
Pialla IE7, tanto non serve ad una cippa, IE6 x aggiornare basta ed avanza :D !

Cià

Gyxx

P.S. WIWA win 2000, finchè me lo supportano col cavolo che passo a XP :asd: !

http://www.gnucitizen.org/blog/0day-pdf-pwns-windows

Hai colto i miei pensieri, siamo sulla stessa linea di pensiero: ho firefox predefinito, tuttavia sospetto che firefox, basandosi su IE, non risolva il problema. Non a caso quando lo installi ti chiede se vuoi esportare il materiale da IE. Ancora: se fai casino nel pannello connessioni di IE anche ff ne risente... secondo me anche con FF non la risolviamo la vulnerabilità

Firefox non si basa su IE. Quello che dici è in parte vero (se crei casino nella pagina delle connessione FF non funziona) ma dipende dal S.O. IE è integrato con il sistema operativo quindi può sembrare che FF si basi su IE, in realtà FF si basa su componenti di rete di Windows, gli stessi di IE (almeno quelli "essenziali"...).

Altrimenti come farebbe a funzionare FF sul mio PC Linux senza IE?

Enrico

veramente le cose da questo punto di vista NON sono affatto poco chiare.

Se clicchi sul link al bollettino adobe, che x semplicità ti riporto anche qui http://www.adobe.com/support/security/advisories/apsa07-04.html

vedi che è tutto spiegato molto bene.



sono affette TUTTE le versioni di acrobat fatte sino ad ora, se si usa come piattaforma XP con IE7 , altrimenti nisba.

La falla è nel comando mailto di acrobat, non serve a nulla il processore protetto ;). E poi che tutti noi lo posseggano, questo è MOOOOLTO opinabile (ad esempio io non ce l'ho e non ne sento manco il bisogno :D )

quel che ci chiedevamo, semmai, è se l'uso di firefox come predefinito possa egualmente bloccare l'exploit o se invece basti la semplice installazione di IE7 sul sitema a aprire la porta x l'exploit.

Ciao
;9
Gyxx
che la falla sia nel comando mailto non vuol dire che non possa essere un buffer non verificato e quindi un processore di 1-2 anni con xp sp2 potrebbe metterti al riparo. Anzi le falle critiche di solito sono proprio sul buffer.

Poi che acrobat 3.0 o 4.0 avesse il comando mailto è tutto da vedere... quindi "precedenti" è imho troppo generico. Se oggi navigassi con win3.11 ed IE2 probabilmente saresti fra i + inviolabili pc in rete: molte funzionalità non sono bacate x il semplice fatto che non esistevano :D
IE2 x es NON supportava i frame e nemmeno javascript: praticamente blindato. :cool:

Hai colto i miei pensieri, siamo sulla stessa linea di pensiero: ho firefox predefinito, tuttavia sospetto che firefox, basandosi su IE, non risolva il problema. Non a caso quando lo installi ti chiede se vuoi esportare il materiale da IE. Ancora: se fai casino nel pannello connessioni di IE anche ff ne risente... secondo me anche con FF non la risolviamo la vulnerabilità

AHAHAHAH!
Questa e' la migliore in assoluto! Batte anche quella che Firefox e' scritto in Java, detta da uno un po' di tempo fa che era proprio convinto, sai gliel'aveva detto il suo amico ingegnere :asd:

Si parla per sentito dire... come sempre.

Se ti chiede di importare (al massimo) i bookmark e' solo una feature che gentilmente ti hanno messo a disposizione.
Stessa cosa per le connessioni... ma sono due browser completamente diversi, con motori diversi e bug diversi.

AHAHAHAH!
Questa e' la migliore in assoluto! Batte anche quella che Firefox e' scritto in Java, detta da uno un po' di tempo fa che era proprio convinto, sai gliel'aveva detto il suo amico ingegnere :asd:

Si parla per sentito dire... come sempre.

Se ti chiede di importare (al massimo) i bookmark e' solo una feature che gentilmente ti hanno messo a disposizione.
Stessa cosa per le connessioni... ma sono due browser completamente diversi, con motori diversi e bug diversi.

Comincio a pensare che ci siano un pò troppi bambini sul forum; dovresti prendere esempio da Enrico, che mi ha risposto tranquillamente dicendo la sua. Il forum serve ad esprimere un pensiero, che può essere sbagliato soprattutto in virtù del fatto di non avere una competenza informatica. E' notevole il fatto di avere un commento del genere da un utente della tua autorevolezza (in base ai messaggi, evidentemente).
Ma è chiaro che la tua competenza informatica coincide con un soggetto di 5 anni. Grazie del tuo intervento, mi è stato chiaro anche il tuo grassetto. :rolleyes:

Comincio a pensare che ci siano un pò troppi bambini sul forum; dovresti prendere esempio da Enrico, che mi ha risposto tranquillamente dicendo la sua. Il forum serve ad esprimere un pensiero, che può essere sbagliato soprattutto in virtù del fatto di non avere una competenza informatica. E' notevole il fatto di avere un commento del genere da un utente della tua autorevolezza (in base ai messaggi, evidentemente).
Ma è chiaro che la tua competenza informatica coincide con un soggetto di 5 anni. Grazie del tuo intervento, mi è stato chiaro anche il tuo grassetto. :rolleyes:

non credo che la mia competenza informatica si deduca dal fatto che non ti ho risposto come volevi tu, al massimo puoi blaterale sul modo di fare mio discutibile.

Ad ogni modo condivido sul fatto che sto forum ha sempre piu' gente che parla senza sapere.
Se tu sai di non sapere semplicemente evita di uscire con affermazioni che non sai se hanno fondamento o no, un bel ? e' gia' sufficiente per evitare queste mie rispose ;)

P.S.= Se vuoi veramente valutare le mie conoscenze informatiche puoi guardare i miei progetti, le mie guide sul forum e se vuoi ti spedisco il mio CV, ma evita altre affermazioni campate in aria, dimostri esattamente che parli a sproposito una seconda volta.

Ragazzi io chiuderei la discussione qui, nn mi sembra il caso di offendersi a vicenda. Cmq tornando all'argomento ho trovato un eseguibile messo a dispoizione sul forum wildersecurity che sistema il prob come dice la Adobe. Bisogna prima aggiornare all'8 per chi nn lo aveva già fatto, poi si lancia l'eseguibile e si selezione il fix, che si può reimpostare una volta che l'aggiornamento all'8.2 sarà pronto. Direi molto comodo, ecco il link:

http://www.javacoolsoftware.com/pdffix.html

a presto

non credo che la mia competenza informatica si deduca dal fatto che non ti ho risposto come volevi tu, al massimo puoi blaterale sul modo di fare mio discutibile.

Ad ogni modo condivido sul fatto che sto forum ha sempre piu' gente che parla senza sapere.
Se tu sai di non sapere semplicemente evita di uscire con affermazioni che non sai se hanno fondamento o no, un bel ? e' gia' sufficiente per evitare queste mie rispose ;)

P.S.= Se vuoi veramente valutare le mie conoscenze informatiche puoi guardare i miei progetti, le mie guide sul forum e se vuoi ti spedisco il mio CV, ma evita altre affermazioni campate in aria, dimostri esattamente che parli a sproposito una seconda volta.

Non devo mettere io il punto interrogativo, sei tu che potresti comportarti in maniera più corretta. Quanto al tuo Cv sicuramente avrai molte persone a cui spedirlo, ti ringrazio della tua offerta.

IE deriva da Mosaic il PRIMO browser in assoluto
Anche Firefox dovrebbe derivare da Mosaic (quasi tutti i browser derivano da Mosaic, Opera no). Forse per questo qualcuno pensa che FF derivi da IE.