Data di pubblicazione: 13 ottobre 2009
Identificatore di vulnerabilità: APSB09-15
Codice CVE: CVE-2007-0048, CVE-2007-0045, CVE-2009-2564, CVE-2009-2979, CVE-2009-2980, CVE-2009-2981, CVE-2009-2982, CVE-2009-2983, CVE-2009-2984, CVE-2009-2985, CVE-2009-2986, CVE-2009-2987, CVE-2009-2988, CVE-2009-2989, CVE-2009-2990, CVE-2009-2991, CVE-2009-2992, CVE-2009-2993, CVE-2009-2994, CVE-2009-2995, CVE-2009-2996, CVE-2009-2997, CVE-2009-2998, CVE-2009-3431, CVE-2009-3458, CVE-2009-3459, CVE-2009-3460, CVE-2009-3461, CVE-2009-3462
Piattaforme: tutte
Sono state individuate vulnerabilità critiche in Adobe Reader 9.1.3 e Acrobat 9.1.3, Adobe Reader 8.1.6 e Acrobat 8.1.6 per Windows, Macintosh e UNIX, nonché Adobe Reader 7.1.3 e Acrobat 7.1.3 per Windows e Macintosh. Tali vulnerabilità possono provocare l'arresto anomalo dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato. Questo aggiornamento rappresenta il secondo aggiornamento di sicurezza trimestrale per Adobe Reader e Acrobat.
Adobe consiglia agli utenti di Adobe Reader 9.1.3 e Acrobat 9.1.3 e versioni precedenti di eseguire l'aggiornamento ad Adobe Reader 9.2 e Acrobat 9.2. Adobe consiglia agli utenti di Acrobat 8.1.6 e versioni precedenti di eseguire l'aggiornamento ad Acrobat 8.1.7, e agli utenti di Acrobat 7.1.3 e versioni precedenti di eseguire l'aggiornamento ad Acrobat 7.1.4. Per gli utenti di Adobe Reader che non possono eseguire l'aggiornamento ad Adobe Reader 9.2, Adobe mette a disposizione gli aggiornamenti ad Adobe Reader 8.1.7 e Adobe Reader 7.1.4. Gli aggiornamenti sono validi per tutte le piattaforme: Windows, Macintosh e UNIX.
Adobe Reader 9.1.3 e versioni precedenti per Windows, Macintosh, e UNIX
Adobe Acrobat 9.1.3 e versioni precedenti per Windows e Macintosh
Adobe Reader
Gli utenti di Adobe Reader per Windows possono trovare l'aggiornamento appropriato qui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows.
Gli utenti di Adobe Reader per Macintosh possono trovare l'aggiornamento appropriato qui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh.
Gli utenti di Adobe Reader per UNIX possono trovare l'aggiornamento appropriato qui: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix.
Acrobat
Gli utenti di Acrobat Standard e Pro per Windows possono trovare l'aggiornamento appropriato qui:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows.
Gli utenti di Acrobat Pro Extended per Windows possono trovare l'aggiornamento appropriato qui: http://www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows
Gli utenti di Acrobat 3D per Windows possono trovare l'aggiornamento appropriato qui:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows.
Gli utenti di Acrobat Pro per Macintosh possono trovare l'aggiornamento appropriato qui:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.
Adobe classifica questo aggiornamento come critico.
Sono state individuate vulnerabilità critiche in Adobe Reader 9.1.3 e Acrobat 9.1.3, Adobe Reader 8.1.6 e Acrobat 8.1.6 per Windows, Macintosh e UNIX, nonché Adobe Reader 7.1.3 e Acrobat 7.1.3 per Windows e Macintosh. Tali vulnerabilità possono provocare l'arresto anomalo dell'applicazione e consentire ad eventuali aggressori di assumere il controllo del sistema interessato. Questo aggiornamento rappresenta il secondo aggiornamento di sicurezza trimestrale per Adobe Reader e Acrobat.
Adobe consiglia agli utenti di Adobe Reader 9.1.3 e Acrobat 9.1.3 e versioni precedenti di eseguire l'aggiornamento ad Adobe Reader 9.2 e Acrobat 9.2. Adobe consiglia agli utenti di Acrobat 8.1.6 e versioni precedenti di eseguire l'aggiornamento ad Acrobat 8.1.7, e agli utenti di Acrobat 7.1.3 e versioni precedenti di eseguire l'aggiornamento ad Acrobat 7.1.4. Per gli utenti di Adobe Reader che non possono eseguire l'aggiornamento ad Adobe Reader 9.2, Adobe mette a disposizione gli aggiornamenti ad Adobe Reader 8.1.7 e Adobe Reader 7.1.4. Gli aggiornamenti sono validi per tutte le piattaforme: Windows, Macintosh e UNIX.
Questo aggiornamento risolve una vulnerabilità di overflow dell'heap che potrebbe provocare l'esecuzione di codice (CVE-2009-3459).
NOTA: secondo alcune segnalazioni, tale vulnerabilità viene correntemente sfruttata in modo selvaggio tramite attacchi limitati e mirati.
Questo aggiornamento risolve un problema di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2009-2985).
Questo aggiornamento risolve varie vulnerabilità di overflow dell'heap che potrebbero provocare l'esecuzione di codice (CVE-2009-2986).
Questo aggiornamento risolve un problema di indice della matrice non valido che potrebbe provocare l'esecuzione di codice (CVE-2009-2990).
NOTA: questo problema viene risolto dagli aggiornamenti ad Adobe Reader e Acrobat 9.2 e 8.1.7.
Questo aggiornamento risolve un problema di sfruttamento da remoto specifico per il plug-in di Mozilla che potrebbe consentire ad un aggressore di eseguire codice arbitrario con i privilegi dell'utente corrente (CVE-2009-2991).
NOTA: questo problema viene risolto dagli aggiornamenti ad Adobe Reader e Acrobat 8.1.7.
Questo aggiornamento risolve varie vulnerabilità di convalida dell'input che potrebbero provocare l'esecuzione di codice (CVE-2009-2993).
Questo aggiornamento risolve un problema di overflow del buffer che potrebbe provocare l'esecuzione di codice (CVE-2009-2994).
Questo aggiornamento risolve una vulnerabilità di overflow dell'heap che potrebbe provocare l'esecuzione di codice (CVE-2009-2997).
Questo aggiornamento risolve un problema di convalida dell'input che potrebbe provocare l'esecuzione di codice (CVE-2009-2998).
Questo aggiornamento risolve un problema di convalida dell'input che potrebbe provocare l'esecuzione di codice (CVE-2009-3458).
Questo aggiornamento risolve un problema di corruzione della memoria che potrebbe provocare l'esecuzione di codice. Tale problema è specifico di Acrobat e non riguarda Adobe Reader (CVE-2009-3460).
NOTA: questo problema viene risolto dagli aggiornamenti ad Acrobat 9.2 e 8.1.7.
Questo aggiornamento risolve un overflow di valori integer che potrebbe provocare l'esecuzione di codice. Tale problema è specifico di Acrobat e non riguarda Adobe Reader (CVE-2009-2989).
NOTA: questo problema viene risolto dagli aggiornamenti ad Acrobat 9.2 e 8.1.7.
Questo aggiornamento risolve un problema di corruzione della memoria che provoca un attacco Denial of Service (DoS); l'esecuzione di codice arbitrario non è stata dimostrata, ma è possibile (CVE-2009-2983).
NOTA: questo problema viene risolto dagli aggiornamenti ad Adobe Reader e Acrobat 9.2 e 8.1.7.
Questo aggiornamento risolve un overflow di valori integer che provoca un attacco Denial of Service (DoS); l'esecuzione di codice arbitrario non è stata dimostrata, ma è possibile (CVE-2009-2980).
Questo aggiornamento risolve un problema di corruzione della memoria che provoca un attacco Denial of Service (DoS); l'esecuzione di codice arbitrario non è stata dimostrata, ma è possibile (CVE-2009-2996).
Questo aggiornamento risolve un bug del formato Unix quando viene eseguito in modalità debug che potrebbe provocare l'esecuzione di codice (CVE-2009-3462).
Questo aggiornamento risolve un problema di decoder immagini che provoca un attacco Denial of Service (DoS); l'esecuzione di codice arbitrario non è stata dimostrata, ma è possibile. Tale problema è specifico di Acrobat e non riguarda Adobe Reader (CVE-2009-2984).
NOTA: questo problema viene risolto dall'aggiornamento ad Acrobat 9.2.
Questo aggiornamento risolve un problema di convalida dell'input che potrebbe provocare un aggiramento delle restrizioni imposte dal gestore di attendibilità (CVE-2009-2981).
Questo aggiornamento risolve un problema che potrebbe consentire ad un utente malintenzionato di eludere i controlli di protezione sull'estensione dei file. Tale problema è specifico di Acrobat 9.x. (CVE-2009-3461).
Questo aggiornamento modifica un certificato che, se compromesso, potrebbe essere essere utilizzato per un attacco di ingegneria sociale (CVE-2009-2982).
NOTA: questo problema viene risolto dagli aggiornamenti ad Adobe Reader e Acrobat 9.2 e 8.1.7.
Questo aggiornamento risolve un problema di overflow dello stack che potrebbe provocare un attacco Denial of Service (DoS) (CVE-2009-3431).
NOTA: questo problema viene risolto dagli aggiornamenti ad Adobe Reader e Acrobat 9.2 e 8.1.7.
Questo aggiornamento risolve un'espansione dell'entità XMP-XML che potrebbe provocare un attacco Denial of Service (DoS) CVE-2009-2979).
NOTA: questo problema viene risolto dagli aggiornamenti ad Adobe Reader e Acrobat 9.2 e 8.1.7.
Questo aggiornamento risolve un problema di attacco Denial of Service (DoS) da remoto nel controllo ActiveX specifico per Windows (CVE-2009-2987).
Questo aggiornamento risolve un problema di convalida dell'input che potrebbe provocare un attacco Denial of Service (DoS) (CVE-2009-2988).
Questo aggiornamento risolve un problema di convalida dell'input specifico del controllo ActiveX che potrebbe provocare un attacco Denial of Service (DoS) (CVE-2009-2992).
NOTA: questo problema viene risolto dagli aggiornamenti ad Adobe Reader e Acrobat 9.2 e 8.1.7.
Questo aggiornamento risolve un overflow di valori integer che provoca un attacco Denial of Service (DoS). Tale problema è specifico di Acrobat e non riguarda Adobe Reader (CVE-2009-2995).
Questo aggiornamento risolve un problema relativo al download di prodotti di terze parti via web in Adobe Reader che potrebbe provocare l'acquisizione locale illecita di privilegi (CVE-2009-2564).
Questo aggiornamento risolve un problema di cross-site scripting quando il plug-in del browser viene utilizzato in Google Chrome e Opera (CVE-2007-0048, CVE-2007-0045).
Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
13 ottobre 2009 - Aggiornamento del bollettino con dettagli
8 ottobre 2009 - Pubblicazione del bollettino
