Data di pubblicazione: 9 gennaio 2007
Identificatore di vulnerabilità: APSB07-01
Codice CVE: CVE-2006-5857, CVE-2007-0045, CVE-2007-0046, CVE-2007-0047, CVE-2007-0048
Piattaforme: tutte
Adobe Reader 7.0.8 e versioni precedenti
Adobe Acrobat Standard, Professional ed Elements 7.0.8 e versioni precedenti
Adobe Acrobat 3D
16 gennaio 2007 - Aggiornato per riflettere la disponibilità di Adobe Reader e Acrobat 6.0.6 per Windows.
9 gennaio 2007 - Questo Bollettino sulla sicurezza fornisce una soluzione per la vulnerabilità descritta originariamente nella Consulenza sulla sicurezza APSA07-01* il 4 gennaio 2007 insieme ad altri problemi.
Questo Bollettino sulla sicurezza riguarda numerose vulnerabilità, inclusi problemi già individuati e resi noti. È disponibile un aggiornamento per una vulnerabilità di cross-site scripting (XSS) nelle versioni 7.0.8 e precedenti di Adobe Reader e Acrobat che può consentire ad aggressori remoti di inserire codice JavaScript arbitrario in una sessione del browser. A questa vulnerabilità, già segnalata in APSA07-01 il 4 gennaio 2007, è stato assegnato un livello di gravità importante*. Nelle versioni 7.0.8 e precedenti di Adobe Reader e Acrobat sono state individuate ulteriori vulnerabilità che potrebbero consentire ad eventuali aggressori di assumere il controllo del sistema interessato. A queste vulnerabilità è stato assegnato un livello di gravità critico*. Gli aggressori possono sfruttare tali vulnerabilità se l'utente finale carica inavvertitamente in Adobe Reader un file dannoso. È pertanto consigliabile eseguire l'aggiornamento all'ultima versione di Adobe Reader o Acrobat disponibile.
Adobe Reader in Windows
Adobe consiglia vivamente di effettuare l'aggiornamento ad Adobe Reader 8, scaricabile dal seguente sito:
http://www.adobe.com/go/getreader*.
Gli utenti di Adobe Reader dalla versione 7.0 alla 7.0.8 che non possono effettuare l'aggiornamento a Reader 8, devono passare alla versione 7.0.9. disponibile come pacchetto di installazione completa anziché patch di correzione. È possibile installare Adobe Reader 7.0.9 nella versione precedente di Reader 7 senza perdere le preferenze dell'utente:
http://www.adobe.com/go/getreader*.
Agli utenti di Adobe Reader dalla versione 6.0 alla 6.0.5 che non possono effettuare l'aggiornamento alla versione 8 o 7.0.9 a causa, ad esempio, dei vincoli del sistema operativo, Adobe consiglia di passare alla versione 6.0.6 installando una serie di patch di correzione disponibili sul seguente sito: http://www.adobe.com/it/downloads*, oppure utilizzando il sistema di aggiornamento automatico quando richiesto dall'applicazione.
Adobe Reader in Mac OS
Adobe consiglia vivamente di effettuare l'aggiornamento ad Adobe Reader 8, scaricabile dal seguente sito: http://www.adobe.com/go/getreader*.
Gli utenti di Adobe Reader dalla versione 7.0 alla 7.0.8 che non possono effettuare l'aggiornamento a Reader 8, devono passare alla versione 7.0.9. In questo caso è necessario che sul computer Mac in uso sia installato Adobe Reader 7.0.8. Per definire la versione di Adobe Reader installata nel computer, scegliere Adobe Reader > Informazioni su Adobe Reader. Il numero della versione viene visualizzato nell'angolo in alto a sinistra sotto il logo di Adobe Reader.
Se è installata la versione 7.0.8, scaricare e installare questa patch di correzione incrementale*.
Dopo aver scaricato il file di aggiornamento, fare doppio clic su di esso per avviare il processo di aggiornamento e accedere al contenuto del file.
Se è installata la versione 7.0, 7.0.1, 7.0.2, 7.0.3, 7.0.5, 7.0.7 o una versione precedente di Reader e non è possibile effettuare l'aggiornamento a Reader 8, Adobe consiglia di scaricare il programma di installazione completo di Adobe Reader 7.0.9 dalla pagina di download di Adobe Reader*.
Adobe Acrobat in Windows o Mac OS
Gli utenti delle versioni comprese tra 7.0 e 7.0.8 devono utilizzare l'opzione di aggiornamento automatico del prodotto. La configurazione di installazione predefinita esegue regolarmente aggiornamenti automatici e può essere attivata manualmente scegliendo ? > Controlla aggiornamenti. In alternativa, è possibile scaricare manualmente i file di aggiornamento dal sito www.adobe.com/it/downloads* e quindi installarli.
Agli utenti di Adobe Acrobat dalla versione 6.0 alla 6.0.5 che non possono a effettuare l'aggiornamento alla versione 8 o 7.0.9 a causa, ad esempio, dei vincoli del sistema operativo, Adobe consiglia di passare alla versione 6.0.6 installando una serie di patch di correzione disponibili sul sito: http://www.adobe.com/it/downloads*, oppure utilizzando il sistema di aggiornamento automatico quando richiesto dall'applicazione.
Adobe Reader in UNIX
Gli utenti della versione 7.0 devono scaricare l'aggiornamento ad Adobe Reader 7.0.9 dal sito http://www.adobe.com/go/getreader*.
Gli utenti delle versioni precedenti alla 7.0 devono scaricare l'aggiornamento alla versione 7.0.9 dal sito web http://www.adobe.com/go/getreader*.
Soluzioni lato server per gli operatori di siti web
Adobe ha fornito soluzioni per gli operatori di siti web onde evitare la vulnerabilità di cross-site scripting (CVE-2007-0045) lato server. Per ulteriori informazioni, consultare la Consulenza sulla sicurezza APSA07-02*.
Adobe classifica questo aggiornamento come critico* e consiglia agli utenti interessati di aggiornare il software.
Questo Bollettino sulla sicurezza riguarda numerose vulnerabilità, inclusi problemi già individuati e resi noti. È pertanto consigliabile eseguire l'aggiornamento all'ultima versione di Adobe Reader o Acrobat disponibile.
È disponibile un aggiornamento per una vulnerabilità di cross-site scripting (XSS) nelle versioni 7.0.8 e precedenti di Adobe Reader e Acrobat che può consentire ad aggressori remoti di inserire codice JavaScript arbitrario in una sessione del browser. A questa vulnerabilità, già segnalata in APSA07-01 il 4 gennaio 2007, è stato assegnato un livello di gravità importante*. Questo problema è specifico dei sistemi operativi Windows e Linux. Può essere sfruttato a seconda del browser e della relativa versione in uso. Questa vulnerabilità non consente l'esecuzione di codice binario. Questo problema può essere sfruttato da remoto. Adobe ha fornito soluzioni* per gli operatori di siti web onde evitare la vulnerabilità di cross-site scripting dal server. (CVE-2007-0045)
Nelle versioni 7.0.8 e precedenti di Adobe Reader e Acrobat sono state individuate ulteriori vulnerabilità che potrebbero consentire ad eventuali aggressori di assumere il controllo del sistema interessato. A queste vulnerabilità è stato assegnato un livello di gravità critico*. Gli aggressori possono sfruttare tali vulnerabilità se l'utente finale carica inavvertitamente in Adobe Reader un file dannoso. Queste vulnerabilità possono essere sfruttate da remoto. (CVE-2006-5857, CVE-2007-0046)
Questi aggiornamenti includono modifiche per evitare un problema di negazione di servizio in Adobe Reader o Acrobat. (CVE-2007-0048)
Adobe desidera ringraziare Piotr Bania per aver segnalato la vulnerabilità descritta in CVE-2006-5857, contribuendo così a proteggere la sicurezza dei nostri clienti.
L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.
L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere cittadini dei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.
ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.
LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.
