Come preannunciato lo scorso 16 dicembre, Adobe nell'ambito del programma periodico di rilascio del software correttivo delle proprie tecnologie, ha reso disponibile un aggiornamento di sicurezza che corregge le vulnerabilità di seguito indicate relative ad Accrobat e Reader : CVE-2009-3953, CVE-2009-3954, CVE-2009-3955, CVE-2009-3956, CVE-2009-3957, CVE-2009-3958, CVE-2009-3959, CVE-2009-4324 quest'ultima di tipo zero day già segnalata dal CERT-SPC.

Adobe ha pertanto rilasciato la versione Adobe Reader 9.3 e Acrobat 9.3 per gli utenti delle versioni vulnerabili Adobe Reader 9.2, Acrobat 9.2 e precedenti relative ai sistemi Windows, Macintosh e UNIX. Le versioni vulnerabili Acrobat 8.1.7 e precedenti per i sistemi Windows e Macintosh sono corrette con l'aggiornamento alla versione 8.2. Gli utenti di Adobe Reader per Windows e Macintosh che non possono eseguire l'aggiornamento alla versione 9.4 di Reader, possono installare l'aggiornamento alla versione 8.2.

Se sfruttate con successo, le vulnerabilità sopra indicate consentono l'esecuzione da parte di un attaccante remoto di codice arbitrario nel contesto di sicurezza dell’utente cha ha avviato l'applicazione o condizioni di "denial of service" sia dell'applicazione che del sistema. Si ricorda che per alcune vulnerabilità sono disponibili in rete gli exploit in grado di sfruttarle e che, attesa la tipologia di vettore utilizza (file PDF) è sempre necessaria l'interazione dell'utente per il quale valgono le raccomandazioni già date in occasione dell'annuncio della vulnerabilità lo scorso 16 dicembre,.

Gli aggiornamenti relativi ai software interessati dalla vulnerabilità (Adobe Reader 9.2 per Windows, Macintosh e UNIX, Adobe Acrobat 9.2 solo per Windows e  Macintosh) sono disponibili per tutti i sistemi supportati alla seguente URL: http://www.adobe.com/support/security/bulletins/apsb10-02.html