Adobe conferma il problema di sicurezza in Acrobat Reader 8.1

Adobe conferma il problema di sicurezza in Acrobat Reader 8.1

Adobe conferma il problema relativo a Acrobat Reader 8.1: patch risolutiva entro poche settimane

di pubblicata il , alle 09:22 nel canale Sicurezza
Adobe
 

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

25 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gyxx09 Ottobre 2007, 11:09 #11
Originariamente inviato da: VEKTOR
Ritornando IT, se l'accoppiata micidiale è IE + Acrobat, firefox dovrebbe garantirci contro il problema?


A quanto scrive la Adobe si e no ...

mi spiego : viene sfruttata una falla derivante dall' installazione di IE7 e una falla di Acrobat 8.1 .....

se usi Firefox e NON hai installato Explorer 7 sei apposto (idem se usi sVista, probabilmente xchè l'exploit crasha ), non a caso i sistemi Win 2000 sono OK (NON ci puoi installare IE7)

se usi firefox ed hai installato IE7 su piattaforma XP sei vulnerabile ....

almeno a quanto ho potuto capire io da quanto scritto nella pagina Adobe.

Probabilmente il codice malevolo sfrutta i comandi dati da Acrobat al browser.

se così fosse , FORSE mettendo come browser di default Firefox risolveresti lo stesso, strano xò che in questo caso non abbiano menzionato questa semplcie soluzione ........

ciao, se qualcuno ne sapesse un po di + e ci chiarisse le idee sarebbe + che benvenuto, IMHO !



Gyxx
zappy09 Ottobre 2007, 12:17 #12
E se NON si ha IE7 ma IE6?
E le versioni 5. 6. 7. di reader/acrobat?
E se si ha un processore "protetto dai buffer underrun" (come ormai tutti da anni)?

Che bollettino poco chiaro
canislupus09 Ottobre 2007, 12:34 #13
Toh che strano... UN bug che coinvolge SOLO windows xp... Non so perchè ci vedo qualcosa di losco sotto...
In ogni caso io non uso Adobe Reader, ma foxit reader. Non richiede installazione, è molto leggero e gratuito (come l'adobe reader). Non sarà sicuramemte esente da bug, ma dato che lo conoscono in pochi dubito che verrà mai sfruttato a pieno.
Gyxx09 Ottobre 2007, 13:05 #14
Originariamente inviato da: zappy
E se NON si ha IE7 ma IE6?
E le versioni 5. 6. 7. di reader/acrobat?
E se si ha un processore "protetto dai buffer underrun" (come ormai tutti da anni)?

Che bollettino poco chiaro


veramente le cose da questo punto di vista NON sono affatto poco chiare.

Se clicchi sul link al bollettino adobe, che x semplicità ti riporto anche qui http://www.adobe.com/support/securi.../apsa07-04.html

vedi che è tutto spiegato molto bene.

Originariamente inviato da: Adobe
Security advisory
Workaround available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat
Release date: October 5, 2007

Vulnerability identifier: APSA07-04

CVE number: CVE-2007-5020

Platform: Windows XP (Vista users are not affected) with Internet Explorer 7 installed

Affected Software Versions Adobe Reader 8.1 and earlier versions
Adobe Acrobat Standard, Professional and Elements 8.1 and earlier versions
Adobe Acrobat 3D


[u]sono affette TUTTE le versioni di acrobat fatte sino ad ora[/u], se si usa come piattaforma XP con IE7 , altrimenti nisba.

La falla è nel comando mailto di acrobat, non serve a nulla il processore protetto . E poi che tutti noi lo posseggano, questo è MOOOOLTO opinabile (ad esempio io non ce l'ho e non ne sento manco il bisogno )

quel che ci chiedevamo, semmai, è se l'uso di firefox come predefinito possa egualmente bloccare l'exploit o se invece basti la semplice installazione di IE7 sul sitema a aprire la porta x l'exploit.

Ciao

;9

Gyxx
VEKTOR09 Ottobre 2007, 13:59 #15
Originariamente inviato da: Gyxx
A quanto scrive la Adobe si e no ...

mi spiego : viene sfruttata una falla derivante dall' installazione di IE7 e una falla di Acrobat 8.1 .....

se usi Firefox e NON hai installato Explorer 7 sei apposto (idem se usi sVista, probabilmente xchè l'exploit crasha ), non a caso i sistemi Win 2000 sono OK (NON ci puoi installare IE7)

se usi firefox ed hai installato IE7 su piattaforma XP sei vulnerabile ....

almeno a quanto ho potuto capire io da quanto scritto nella pagina Adobe.

Probabilmente il codice malevolo sfrutta i comandi dati da Acrobat al browser.

se così fosse , FORSE mettendo come browser di default Firefox risolveresti lo stesso, strano xò che in questo caso non abbiano menzionato questa semplcie soluzione ........

ciao, se qualcuno ne sapesse un po di + e ci chiarisse le idee sarebbe + che benvenuto, IMHO !



Gyxx


Hai colto i miei pensieri, siamo sulla stessa linea di pensiero: ho firefox predefinito, tuttavia sospetto che firefox, basandosi su IE, non risolva il problema. Non a caso quando lo installi ti chiede se vuoi esportare il materiale da IE. Ancora: se fai casino nel pannello connessioni di IE anche ff ne risente... secondo me anche con FF non la risolviamo la vulnerabilità
Gyxx09 Ottobre 2007, 14:35 #16
Originariamente inviato da: VEKTOR
Hai colto i miei pensieri, siamo sulla stessa linea di pensiero: ho firefox predefinito, tuttavia sospetto che firefox, basandosi su IE, non risolva il problema. Non a caso quando lo installi ti chiede se vuoi esportare il materiale da IE. Ancora: se fai casino nel pannello connessioni di IE anche ff ne risente... secondo me anche con FF non la risolviamo la vulnerabilità

Pialla IE7, tanto non serve ad una cippa, IE6 x aggiornare basta ed avanza !

Cià

Gyxx

P.S. WIWA win 2000, finchè me lo supportano col cavolo che passo a XP !
Enrico20409 Ottobre 2007, 15:27 #18
Originariamente inviato da: VEKTOR
Hai colto i miei pensieri, siamo sulla stessa linea di pensiero: ho firefox predefinito, tuttavia sospetto che firefox, basandosi su IE, non risolva il problema. Non a caso quando lo installi ti chiede se vuoi esportare il materiale da IE. Ancora: se fai casino nel pannello connessioni di IE anche ff ne risente... secondo me anche con FF non la risolviamo la vulnerabilità


Firefox non si basa su IE. Quello che dici è in parte vero (se crei casino nella pagina delle connessione FF non funziona) ma dipende dal S.O. IE è integrato con il sistema operativo quindi può sembrare che FF si basi su IE, in realtà FF si basa su componenti di rete di Windows, gli stessi di IE (almeno quelli "essenziali"...).

Altrimenti come farebbe a funzionare FF sul mio PC Linux senza IE?

Enrico
zappy09 Ottobre 2007, 15:57 #19
Originariamente inviato da: Gyxx
veramente le cose da questo punto di vista NON sono affatto poco chiare.

Se clicchi sul link al bollettino adobe, che x semplicità ti riporto anche qui http://www.adobe.com/support/securi.../apsa07-04.html

vedi che è tutto spiegato molto bene.



[u]sono affette TUTTE le versioni di acrobat fatte sino ad ora[/u], se si usa come piattaforma XP con IE7 , altrimenti nisba.

La falla è nel comando mailto di acrobat, non serve a nulla il processore protetto . E poi che tutti noi lo posseggano, questo è MOOOOLTO opinabile (ad esempio io non ce l'ho e non ne sento manco il bisogno )

quel che ci chiedevamo, semmai, è se l'uso di firefox come predefinito possa egualmente bloccare l'exploit o se invece basti la semplice installazione di IE7 sul sitema a aprire la porta x l'exploit.

Ciao
;9
Gyxx

che la falla sia nel comando mailto non vuol dire che non possa essere un buffer non verificato e quindi un processore di 1-2 anni con xp sp2 potrebbe metterti al riparo. Anzi le falle critiche di solito sono proprio sul buffer.

Poi che acrobat 3.0 o 4.0 avesse il comando mailto è tutto da vedere... quindi "precedenti" è imho troppo generico. Se oggi navigassi con win3.11 ed IE2 probabilmente saresti fra i + inviolabili pc in rete: molte funzionalità non sono bacate x il semplice fatto che non esistevano
IE2 x es NON supportava i frame e nemmeno javascript: praticamente blindato.
Cimmo09 Ottobre 2007, 17:24 #20
Originariamente inviato da: VEKTOR
Hai colto i miei pensieri, siamo sulla stessa linea di pensiero: ho firefox predefinito, tuttavia sospetto che firefox, basandosi su IE, non risolva il problema. Non a caso quando lo installi ti chiede se vuoi esportare il materiale da IE. Ancora: se fai casino nel pannello connessioni di IE anche ff ne risente... secondo me anche con FF non la risolviamo la vulnerabilità


AHAHAHAH!
Questa e' la migliore in assoluto! Batte anche quella che Firefox e' scritto in Java, detta da uno un po' di tempo fa che era proprio convinto, sai gliel'aveva detto il suo amico ingegnere

Si parla per sentito dire... come sempre.

Se ti chiede di importare (al massimo) i bookmark e' solo una feature che gentilmente ti hanno messo a disposizione.
Stessa cosa per le connessioni... ma sono due browser completamente diversi, con motori diversi e bug diversi.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^