Adobe compromessa

Adobe Systems IncorporatedAdobe è stata compromessa: sono stati trafugati i sorgenti di alcuni software e i dati di moltissimi utenti registrati.

Dal momento che le compromissioni sono due è bene analizzarle separatamente.

Per quanto riguarda il codice sorgente, Adobe ha rilasciato una dichiarazione qui. L’intrusione sarebbe avvenuta lo scorso 17 settembre e sicuramente è stato copiato il sorgente di ColdFusion e di Acrobat, probabilmente anche quello di altri software di Adobe. L’evento è molto serio perché chi può accedere a quei sorgenti può studiarli per scoprire delle vulnerabilità e sfruttarle. I gestori di siti con ColdFusion devono prestare particolare attenzione e tenere il loro software aggiornato. Stessa regola vale per chi ha installato Flash e Adobe Reader; questi ultimi utenti possono considerare l’opzione di rimuovere il software per la lettura dei PDF e utilizzarne un altro.

Leggi tutto “Adobe compromessa”

La complessità del malware

È stata percorsa molta strada dal primo worm di sendmail, dai primi virus o dai primi spyware.

Come illustrato da Mikko Hypponen, adesso il malware viene scritto essenzialmente per tre ragioni: danaro, attivismo politico e attacchi tra Stati.

VRT ha pubblicato un’interessantissima analisi di un malware ben nidificato. Si tratta di un exploit che sfrutta un integer overflow per eseguire del codice arbitrario utilizzando un’immagine TIFF creata ad arte codificata base64, che viene creata al momento da un codice JavaScript hex encoded in altro codice JavaScript che è incorporato in un XML compresso a sua volta all’interno di un file PDF.

Ci si potrebbe chiedere come mai sia lecito incorporare codice JavaScript in un XML a sua volta incorporato in un formato di definizione della pagina. Purtroppo il formato PDF è nato come un’idea di Adobe di rendere ubiquo il PostScript, ma ha raccolto a bordo negli anni ogni tipo di contenuto. Un’idea, che poteva sembrare interessante ad alcuni, si è rivelata una pericolosa breccia nella sicurezza di moltissimi computer grazie a visualizzatori scritti non esattamente con la sicurezza come luce guida.

Questo è il motivo per cui molti enti della nostra Pubblica Amministrazione accettano che vengano caricati solamente PDF/A.

Questo piccolo esempio dimostra che il malware si può annidare in ogni tipo di file il cui sistema di visualizzazione è prono ad attacchi o contiene vulnerabilità. È, quindi, sempre opportuno aggiornare i vari programmi di visualizzazione e i sistemi antivirus perché i disagi teorici che potrebbero conseguire da un aggiornamento di versione sono sicuramente inferiori ai problemi concreti che derivano da un visualizzatore di cui sono note le vulnerabilità.

Dobbiamo ancora chiamare eBook i PDF?

Anni fa quando i libri elettronici erano ancora qualcosa riservato a pochi smanettoni ci andava bene di tutto: TXT, HTML, PDF…

Adesso non possiamo più dire che non esistono standard per i libri elettronici: l’ePUB è un formato gratuito, aperto e ampiamente utilizzato, salvo eccezioni.

Molti autori o società regalano eBook in formato PDF (ne ho appena scaricato uno). Non sono altro che documenti Word (nel mio caso Word 2007) esportati o “stampati” in PDF.

Leggi tutto “Dobbiamo ancora chiamare eBook i PDF?”

PDF: non solo Adobe Reader

I file in formato PDF sono diventati da tempo un subdolo veicolo di diffusione del malware.

Il problema non sta tanto nei file medesimi, ma nel modo in cui vengono aperti e trattati dal programma di visualizzazione (reader). Il reader più popolare è senza dubbio Adobe Reader (già Acrobat Reader), ma è anche il più vulnerabile ai problemi di sicurezza, soprattutto perché molti utenti non lo aggiornano come dovrebbero e non percepiscono i file PDF come minacciosi.

Leggi tutto “PDF: non solo Adobe Reader”

Anatomia di un attacco

Gli 0-day dei software, specialmente quelli molto diffusi, non valgono nemmeno più la pena di essere citati tutti.

Quello scoperto da poco in Adobe Reader è interessante per come è stato sfruttato. Purtroppo la scansione degli eventi che segue potrebbe essere falsata dalle differenze di fusi orari, ma per ora dobbiamo convivere con questa maledizione. 🙂

Leggi tutto “Anatomia di un attacco”

TCPDF

TCPDF è una libreria per PHP scritta dall’italiano Nicola Asuni per creare documenti PDF.

Uno dei punti di forza di TCPDF, oltre alla sua incredibile versatilità, è che non richiede nessun software installato sul server: il file PDF viene creato tutto all’interno della libreria. Servono solamente le librerie GD se si vogliono fare operazioni di elaborazione sulle immagini, come il ridimensionamento.

Un’altra comoda caratteristica è la possibilità di dare in pasto a TCPDF del testo con codici di formattazione HTML.

È anche possibile includere nei documenti molti tipi di codici a barre monodimensionali e bidimensionali, incluso il QR Code.

Tutti i metodi sono ampiamente documentati e sono disponibili moltissimi esempi con il codice sorgente commentato e il PDF risultante.

Decisamente LA libreria per creare i PDF!

Aggiornamento per Acrobat

Dopo quasi un mese dalla diffusione di  uno 0-day, Adobe rilascia finalmente un aggiornamento per il suo reader PDF, le cui versioni attuali diventano 9.4 e 8.2.5; le versioni precedenti non sono più supportate e dovrebbero essere aggiornate quanto prima.

Se non si verificano altre emergenze, il prossimo aggiornamento del software è previsto per l’8 febbraio 2011.

Aggiornamenti per Flash

Adobe ha aggiornato l’advisory con cui segnala un baco di Flash e di Acrobat Reader.

Da oggi sono disponibili gli aggiornamenti di Flash Player.

Diversamente da quanto annunciato, gli aggiornamenti che correggono il problema di Acrobat Reader saranno disponibili nella settimana del 4 ottobre p.v. (via F-Secure)

Problema di sicurezza di Adobe Acrobat Reader

Sta circolando almeno un documento PDF che sfrutta un problema 0-day di Acrobat Reader. Anche Adobe ha diramato un bollettino di sicurezza in cui classifica questo problema come critico.

Tutte le versioni per tutte le piattaforme di Acrobat Reader presentano questo problema, nessuno escluso.

In questo momento non ci sono azioni che possono risolvere questo problema, Adobe sta lavorando  per correggere l’errore e rilascerà probabilmente un aggiornamento quanto prima.

Alcune mail che contengono il documento infetto che sfrutta questa vulnerabilità hanno come oggetto David Leadbetter’s One Point Lesson. Alcuni attacchi portati con questo vettore chiudono forzatamente Acrobat Reader e tentano di aprire un programma che fa da esca per l’utente.

Alcuni antivirus riescono a classificare i PDF che sfruttano questa vulnerabilità  come sospetti; tuttavia è buona regola non aprire PDF di provenienza ignota con Acrobat Reader.