Data di pubblicazione: 18 marzo 2009
Ultimo aggiornamento: 24 marzo 2009
Identificatore di vulnerabilità: APSB09-04
Codice CVE: CVE-2009-0658, CVE-2009-0927, CVE-2009-0193, CVE-2009-0928, CVE-2009-1061, CVE-2009-1062
Piattaforma: tutte
Sono state individuate importanti vulnerabilità in Adobe Reader 9 e Acrobat 9 e versioni precedenti. Tali vulnerabilità possono provocare l'arresto anomalo dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato. Secondo alcune segnalazioni, una di queste vulnerabilità viene correntemente sfruttata (CVE-2009-0658).
Adobe consiglia agli utenti di Adobe Reader e Acrobat 9 di eseguire l'aggiornamento ad Adobe Reader 9.1 e Acrobat 9.1. Adobe consiglia agli utenti di Acrobat 8 di eseguire l'aggiornamento ad Acrobat 8.1.4 e agli utenti di Acrobat 7 di eseguire l'aggiornamento ad Acrobat 7.1.1. Per gli utenti di Adobe Reader che non possono eseguire l'aggiornamento ad Adobe Reader 9.1, Adobe mette a disposizione gli aggiornamenti ad Adobe Reader 8.1.4 e Adobe Reader 7.1.1.
Questi aggiornamenti risolvono il problema segnalato nellaconsulenza sulla sicurezza APSA09-01 e nelbollettino sulla sicurezza APSB09-03. Gli utenti che hanno già effettuato l'aggiornamento ad Adobe Reader 9.1 e Acrobat 9.1 per Windows e Macintosh non devono intraprendere alcuna azione.
A partire dal 24 marzo, Adobe ha inoltre reso disponibili gli aggiornamenti ad Adobe Reader 9.1 e Adobe Reader 8.1.4 per Unix.
Adobe Reader 9 e versioni precedenti
Adobe Acrobat 9 Standard, Pro e Pro Extended e versioni precedenti
Adobe Reader
Adobe consiglia agli utenti di Adobe Reader di eseguire l'aggiornamento ad Adobe Reader 9.1, disponibile qui:
http://get.adobe.com/it/reader/
Agli utenti che dispongono di Adobe Reader dalla versione 7.0 fino alla versione 8.1.3 e che non possono eseguire l'aggiornamento ad Adobe Reader 9.1, si consiglia di effettuare l'aggiornamento ad Adobe Reader 8.1.4 o Adobe Reader 7.1.1, scaricabile da uno dei seguenti collegamenti:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows*
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh*
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix*
Acrobat 9
Adobe consiglia agli utenti di Acrobat 9 Standard e Acrobat 9 Pro per Windows di eseguire l'aggiornamento ad Acrobat 9.1, disponibile ai seguenti URL:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4375*
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4382*
Adobe consiglia agli utenti di Acrobat 9 Pro Extended per Windows di eseguire l'aggiornamento ad Acrobat 9.1, disponibile qui:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4381*
Adobe consiglia agli utenti di Acrobat 9 Pro per Macintosh di eseguire l'aggiornamento ad Acrobat 9.1, disponibile qui:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4374*
Acrobat 8
Adobe consiglia agli utenti di Acrobat 8 per Windows di eseguire l'aggiornamento ad Acrobat 8.1.4, disponibile qui:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*
Adobe consiglia agli utenti di Acrobat 8 per Macintosh di eseguire l'aggiornamento ad Acrobat 8.1.4, disponibile qui:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*
Adobe consiglia agli utenti di Acrobat 3D versione 8 per Windows di eseguire l'aggiornamento ad Acrobat 3D versione 8.1.4, disponibile qui:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows*
Acrobat 7
Adobe consiglia agli utenti di Acrobat 7 per Windows di eseguire l'aggiornamento ad Acrobat 7.1.1, disponibile qui:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows*
Adobe consiglia agli utenti di Acrobat 7 per Macintosh di eseguire l'aggiornamento ad Acrobat 7.1.1, disponibile qui:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh*
Adobe consiglia agli utenti di Acrobat 3D versione 7 per Windows di eseguire l'aggiornamento ad Acrobat 3D versione 7.1.1, disponibile qui:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows*
Adobe classifica questo problema comecritico e consiglia agli utenti di applicare l'aggiornamento per le installazioni del prodotto in loro possesso.
Sono state individuate importanti vulnerabilità in Adobe Reader e Acrobat 9 e versioni precedenti. Tali vulnerabilità possono provocare l'arresto anomalo dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato.
Per proteggersi da possibili vulnerabilità, Adobe consiglia agli utenti di Acrobat e Adobe Reader di aggiornare le installazioni dei prodotti in uso alle versioni 9.1, 8.1.4 o 7.1.1 seguendo le istruzioni sopra riportate.
Questi aggiornamenti risolvono il problema di sovraccarico del buffer per il filtro JBIG2 segnalato nellaconsulenza sulla sicurezza APSA09-01 e nelbollettino sulla sicurezza APSB09-03 (CVE-2009-0658).
Nota: secondo alcune segnalazioni, tale vulnerabilità viene correntemente sfruttata.
Questi aggiornamenti risolvono ulteriori problemi di convalida dell'input JBIG2 che potrebbero generare l'esecuzione di codice remoto (CVE-2009-0193, CVE-2009-0928, CVE-2009-1061, CVE-2009-1062).
Gli aggiornamenti ad Adobe Reader e Acrobat 9.1 e 7.1.1 risolvono un problema relativo alla convalida dell'input presente in un metodo JavaScript che potrebbe generare l'esecuzione di codice remoto. Questo problema è stato già risolto in Adobe Reader 8.1.3 e Acrobat 8.1.3 (CVE-2009-0927).
Gli aggiornamenti ad Adobe Reader 7.1.1 e Acrobat 7.1.1 risolvono problemi già verificatisi per Adobe Reader e Acrobat 8.1.3 e versioni successive, nonché per Adobe Reader e Acrobat 9 e versioni successive (CVE-2008-4814, CVE-2008-4813, CVE-2008-2549).
Gli utenti possono anche controllare le informazioni aggiornate nel blog di Adobe Product Security Incident Response Team al seguente URL: http://blogs.adobe.com/psirt* oppure iscrivendosi al feed RSS qui: http://blogs.adobe.com/psirt/*.
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
24 marzo 2009 - Bollettino aggiornato con le informazioni sugli aggiornamenti ad Adobe Reader 9.1 e Adobe Reader 8.1.4 per Unix e su ulteriori problemi JBIG2
18 marzo 2009 - Prima pubblicazione del bollettino
