Data di pubblicazione: 23 giugno 2008
Identificatore di vulnerabilità: APSB08-15
Codice CVE: CVE-2008-2641, CVE-2008-0883
Piattaforme: tutte
Versioni del software interessate:
NOTA: Adobe Reader 7.1.0 e Acrobat 7.1.0 non sono soggetti a questa vulnerabilità. Anche Adobe Reader 9 e Acrobat 9, il cui rilascio è previsto per luglio 2008, non sono soggetti a questa vulnerabilità.
In Adobe Reader e Acrobat 8.1.2 sono state individuate alcune importanti vulnerabilità che potrebbero provocare il blocco dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato.
Adobe consiglia agli utenti di Acrobat 8 e Adobe Reader di installare la patch Security Update 1 per Acrobat 8.1.2.
Adobe consiglia agli utenti di Adobe Reader 8 di eseguire l'aggiornamento ad Adobe Reader 8.1.2 Security Update 1, disponibile tramite i seguenti collegamenti:
Per Windows: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3967*
Per Macintosh: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3966*
Per Unix: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3992*
Adobe consiglia agli utenti di Acrobat 8 per Windows di eseguire l'aggiornamento ad Acrobat 8.1.2 Security Update 1, disponibile qui: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3976*
Adobe consiglia agli utenti di Acrobat 8 per Macintosh di eseguire l'aggiornamento ad Acrobat 8.1.2 Security Update 1, disponibile qui: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3977*
Adobe consiglia agli utenti di Acrobat 3D versione 8 per Windows di eseguire l'aggiornamento ad Acrobat 3D Version 8.1.2 Security Update 1, disponibile qui: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3975*
È consigliabile che gli utenti di Adobe Reader dalla versione 7.0 alla versione 7.0.9 eseguano l'aggiornamento ad Adobe Reader 7.1.0: http://www.adobe.com/go/getreader.
Adobe consiglia agli utenti di Acrobat 7 per Windows di eseguire l'aggiornamento ad Acrobat 7.1.0, disponibile qui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*
Adobe consiglia agli utenti di Acrobat 7 per Macintosh di eseguire l'aggiornamento ad Acrobat 7.1.0, disponibile qui: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*
Adobe classifica questo problema come critico* e consiglia agli utenti interessati di aggiornare le versioni in uso.
È stata individuata un'importante vulnerabilità in Adobe Reader e Acrobat 8.1.2 e versioni precedenti. Questa vulnerabilità può provocare il blocco dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato.
Solo per Unix: questo aggiornamento risolve anche il potenziale problema dell'acquisizione illecita di privilegi già segnalato nell'Avviso sulla sicurezza APSA08-02.
Per proteggersi da possibili vulnerabilità, Adobe consiglia agli utenti di Acrobat e Adobe Reader di aggiornare le installazioni dei prodotti seguendo le istruzioni sopra riportate. Adobe Reader 7.1.0 e Acrobat 7.1.0 non sono soggetti a questa vulnerabilità.
Questo aggiornamento risolve un problema di convalida dell'input presente in una tecnologia JavaScript che potrebbe generare l'esecuzione di codice remoto. (CVE-2008-2641)
NOTA: secondo alcune segnalazioni, tale vulnerabilità viene correntemente sfruttata.
Adobe desidera ringraziare l'Information Security Team di Johns Hopkins University Applied Physics Laboratory* per aver segnalato questo problema critico (CVE-2008-2641) e per aver collaborato con Adobe, contribuendo così a proteggere la sicurezza dei nostri clienti. Adobe desidera inoltre ringraziare Tavis Ormandy di Google Security Team* per aver segnalato il problema dell'acquisizione illecita di privilegi in Unix (CVE-2008-0883) e per aver collaborato con Adobe, contribuendo così a proteggere la sicurezza dei nostri clienti.
17 luglio 2008 - Aggiornamento del bollettino con l'aggiunta delle informazioni relative alla versione per Unix
23 giugno 2008 - Prima pubblicazione del bollettino
L'utilizzo del software di Adobe Systems Incorporated o delle sue filiali ("Adobe") implica l'accettazione dei termini e delle condizioni seguenti. Non utilizzare il software se non si accettano tali termini e condizioni. I termini dei contratti di licenza per utenti finali forniti con l'installazione o il download di determinati software sostituiscono i termini presentati di seguito.
L'esportazione e la riesportazione di prodotti software di Adobe sono regolamentate dalle disposizioni statunitensi in materia di esportazione (Export Administration Regulations). È vietata l'esportazione o la riesportazione di prodotti software nei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria e in qualsiasi altro paese in cui vige l'embargo di merci da parte degli Stati Uniti. È altresì vietata la distribuzione del software Adobe alle persone citate negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Con il download o l'utilizzo dei prodotti software Adobe si dichiara di non essere cittadini dei seguenti paesi: Cuba, Iran, Iraq, Libia, Corea del Nord, Sudan o Siria, né di qualsiasi altro paese in cui vige l'embargo delle merci da parte degli Stati Uniti e si dichiara di non essere una persona citata negli elenchi "Table of Denial Orders", "Entity List" o "List of Specially Designated Nationals" degli Stati Uniti.
Se il software è progettato per l'utilizzo con un'altra applicazione software ("applicazione host") pubblicata da Adobe, Adobe garantisce una licenza non esclusiva per l'utilizzo del software con tale applicazione host, a condizione che l'utente sia in possesso di una licenza valida di Adobe per detta applicazione host. Ad eccezione di quanto indicato di seguito, il software viene concesso in licenza conformemente ai termini e alle condizioni del contratto di licenza per utenti finali di Adobe che regola l'utilizzo dell'applicazione host.
ESCLUSIONE DI GARANZIE: ADOBE NON FORNISCE ALCUNA GARANZIA ESPLICITA SUL SOFTWARE CHE VIENE FORNITO "COSÌ COM'È" SENZA GARANZIA DI ALCUN TIPO. ADOBE ESCLUDE TUTTE LE GARANZIE, ESPLICITE O IMPLICITE, RELATIVE AL SOFTWARE, INCLUSE, SENZA ALCUNA LIMITAZIONE, EVENTUALI GARANZIE IMPLICITE DI IDONEITÀ PER UNO SCOPO SPECIFICO, COMMERCIABILITÀ, QUALITÀ SODDISFACENTE E NON VIOLAZIONE DI DIRITTI ALTRUI. In alcuni stati o giurisdizioni non è ammessa l'esclusione di garanzie implicite. Le limitazioni illustrate in precedenza potrebbero pertanto non essere applicabili.
LIMITAZIONE DI RESPONSABILITÀ: ADOBE NON SARÀ, IN ALCUN CASO, RESPONSABILE NEI CONFRONTI DELL'UTENTE PER QUALSIASI PERDITA DELL'UTILIZZO, INTERRUZIONE D'ATTIVITÀ O PER DANNI DIRETTI, INDIRETTI, INCIDENTALI O CONSEQUENZIALI DI QUALSIASI TIPO (INCLUSA LA PERDITA DI PROFITTI) DERIVANTI DA VIOLAZIONI DEL CONTRATTO, RESPONSABILITÀ OGGETTIVA (INCLUSA NEGLIGENZA), DIFETTI DEL PRODOTTO O ALTRA COLPA, ANCHE QUALORA ADOBE FOSSE STATA AVVISATA DELLA POSSIBILITÀ DEL VERIFICARSI DI TALI DANNI. In alcuni stati o giurisdizioni non è ammessa l'esclusione o la limitazione dei danni incidentali o consequenziali. Le limitazioni o esclusioni illustrate in precedenza potrebbero pertanto non essere applicabili.
