Come preannunciato lo scorso 16 dicembre, Adobe nell'ambito del programma periodico di rilascio del software correttivo delle proprie tecnologie, ha reso disponibile un aggiornamento di sicurezza che corregge le vulnerabilità di seguito indicate relative ad Accrobat e Reader : CVE-2009-3953, CVE-2009-3954, CVE-2009-3955, CVE-2009-3956, CVE-2009-3957, CVE-2009-3958, CVE-2009-3959, CVE-2009-4324 quest'ultima di tipo zero day già segnalata dal CERT-SPC.

Adobe ha pertanto rilasciato la versione Adobe Reader 9.3 e Acrobat 9.3 per gli utenti delle versioni vulnerabili Adobe Reader 9.2, Acrobat 9.2 e precedenti relative ai sistemi Windows, Macintosh e UNIX. Le versioni vulnerabili Acrobat 8.1.7 e precedenti per i sistemi Windows e Macintosh sono corrette con l'aggiornamento alla versione 8.2. Gli utenti di Adobe Reader per Windows e Macintosh che non possono eseguire l'aggiornamento alla versione 9.4 di Reader, possono installare l'aggiornamento alla versione 8.2.

Se sfruttate con successo, le vulnerabilità sopra indicate consentono l'esecuzione da parte di un attaccante remoto di codice arbitrario nel contesto di sicurezza dell’utente cha ha avviato l'applicazione o condizioni di "denial of service" sia dell'applicazione che del sistema. Si ricorda che per alcune vulnerabilità sono disponibili in rete gli exploit in grado di sfruttarle e che, attesa la tipologia di vettore utilizza (file PDF) è sempre necessaria l'interazione dell'utente per il quale valgono le raccomandazioni già date in occasione dell'annuncio della vulnerabilità lo scorso 16 dicembre,.

Gli aggiornamenti relativi ai software interessati dalla vulnerabilità (Adobe Reader 9.2 per Windows, Macintosh e UNIX, Adobe Acrobat 9.2 solo per Windows e  Macintosh) sono disponibili per tutti i sistemi supportati alla seguente URL: http://www.adobe.com/support/security/bulletins/apsb10-02.html

Microsoft ha reso disponibile un aggiornamento di sicurezza nell'ambito del programma mensile di rilascio del software correttivo per le proprie tecnologie. Il bollettino MS10-001 corregge una vulnerabilità (CVE-2010-0018) relativa a Embedded OpenType (EOT)  - 972270 - che interessa le seguenti versioni di Microsoft Windows:

Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista     
Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1, and Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

Una vulnerabilità analoga era sta già corretta da Microsoft nel bollettino MS09-029 di Luglio del 2009 illustrata dal CERT-SPC in questo articolo. Embedded OpenType Font Engine (EOT) consente la gestione integrata di determinati tipi di carattere nei documenti visualizzati anche via web e permette la corretta visualizzazione e formattazione di caratteri a prescindere dalla disponibilità sul proprio sistema di quei font.

In relazione alla vulnerabilità di tipo "zero-day" (CVE-2009-4324) preliminarmente segnalata nella giornata di ieri dal CERT-SPC, si informa che Adobe ha confermato la vulnerabilità e che il software correttivo per la stessa non sarà disponibile prima del 12 Gennaio 2010 in occasione del rilascio periodico del software correttivo. In aggiunta a quanto, precedentemente indicato, le versioni vulnerabili sono: Adobe Reader 9.2 e precedenti versioni per i sistemi Windows, Macintosh ed UNIX; Adobe Acrobat 9.2 e versioni precedenti per Windows e Macintosh.

Come anticipato dal CERT-SPC, e confermato successivamente da Adobe, la vulnerabilità consente ad un attaccante remoto di eseguire codice nel contesto di sicurezza dell'utente che ha avviato l'applicazione ed interessa la gestione dei JavaScript. Un'ulteriore workaround indicato da Adobe, rispetto a quanto già indicato nel precedente bollettino, è quello di riferirsi al JavaScript Blacklist Framwork. Tale framework consente ad Adobe di proteggere i propri clienti dagli attacchi che sfruttano specifiche API JavaScript attraverso un controllo analitico durante l'esecuzione di tali processi. Adobe ha classificato tale vulnerabilità come critica e si raccomanda, pertanto, gli utenti di seguire le indicazioni già in precedenza suggerite. Ulteriori dettagli ed aggiornamenti sono disponibili presso le seguenti URL:

• http://www.adobe.com/support/security/advisories/apsa09-07.html
• http://kb2.adobe.com/cps/532/cpsid_53237.html

Adobe ha pubblicato un bollettino di sicurezza per correggere 7 vulnerabilità ritenute critiche (CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951) relative alla versione 10.0.32.18 e precedenti di Adobe Flash Player e alla versione 1.5.2 di Adobe AIR. Le vulnerabilità segnalate se sfruttate con successo da un attaccante consentono l'esecuzione di codice arbitrario nel contesto di sicurezza dell'utente che ha avviato l'applicazione oppure possono creare condizioni di Denial of Service o la compromissione della riservatezza dei dati.