[NEWS] Patch per QuickTime, PDF, Java e Skype

[c.m.g]

venerdì 08 febbraio 2008

Roma - Nelle ultime 48 ore Sun, Adobe, Apple e Skype hanno rilasciato patch di sicurezza relative, rispettivamente, a Java, Adobe Reader, iPhoto, QuickTime e Skype. Il livello di diffusione di questi programmi è così ampio che, secondo i dati pubblicati da Secunia (raccolti attraverso il suo tool gratuito PSI), l'81% di tutti i computer connessi ad Internet necessita di almeno uno di questi aggiornamenti.

Le falle che affliggono Java sono due, e riguardano la versione 5.0 Update 13 e precedenti e 6 Update 1 e precedenti del componente Java Runtime Environment (JRE): secondo quanto spiegato in questo advisory da FrSIRT, entrambe le debolezze "possono essere sfruttate da un aggressore remoto per prendere il pieno controllo di un sistema vulnerabile". Exploit di questa falla potrebbero celarsi all'interno di applicazioni ed applet Java che, una volta eseguite, sono potenzialmente in grado di leggere e scrivere file locali oppure eseguire comandi e programmi con gli stessi privilegi dell'utente locale. Va detto che le ultime versioni di Java, rilasciate alcuni mesi addietro, sono immuni da questi bug e possono essere scaricate da qui (versione 6) e da qui (versione 5.0).

Adobe Reader 8.x è invece interessato da alcune falle di cui, al momento, si conoscono solo i dettagli divulgati dalla società di sicurezza Immunity, che facendo il reverse engineering della patch ufficiale ha scoperto che l'errore corretto da Adobe è di tipo stack overflow, normalmente considerato dagli esperti di media o elevata gravità. La stessa Immunity ha già scritto un exploit dimostrativo che potrebbe essere utilizzato per inserire in un documento PDF del codice maligno.

In questo advisory Adobe rivela soltanto che l'ultima release del proprio visualizzatore di documenti PDF, la 8.1.2 per Windows, Mac OS X, Linux e Solaris, corregge "un certo numero di vulnerabilità di sicurezza", senza però scendere nei dettagli: un atteggiamento, quello del colosso del software, che nelle scorse ore ha sollevato le critiche di molti ricercatori e consulenti di sicurezza.

In QuickTime Apple ha sistemato una falla scoperta circa un mese fa dall'hacker italiano Luigi Auriemma e causata dal modo in cui il famoso player gestisce il protocollo Remote Transfer Streaming Protocol (RTSP). L'ultima versione del software, la 7.4.1 (scaricabile da qui), sistema anche alcune incompatibilità tra QuickTime e le applicazioni Adobe Premiere e After Effects.

Apple ha rilasciato anche un update per iPhoto, la propria applicazione per la gestione e la condivisione delle immagini contenuta nella suite iLife. FrSIRT spiega in questo advisory che la vulnerabilità potrebbe essere sfruttata in modalità remota per causare il crash dell'applicazione e l'eventuale esecuzione di codice. Un attacco di questo genere presuppone che l'utente si iscriva ad un photocast creato appositamente per innescare la falla.

L'ultima versione di Skype, la 3.6.0.248, introduce invece nuovi meccanismi di sicurezza che dovrebbero risolvere i rischi derivanti dall'utilizzo del motore di rendering di Internet Explorer. Rischi che lo scorso mese erano stati evidenziati, fra gli altri, da due guru della sicurezza come Aviv Raff e Petko Petkov. L'ultima release di Skype in italiano può essere scaricata da qui.


Fonte: Punto Informatico