In questi giorni Adobe ha reso disponibili gli update dei software Reader e Acrobat al fine di fixare vulnerabilita' critiche riguardanti tutte le piattaforme e molto sfruttate dagli attackers in questo ultimo periodo alcuni dei quali sfruttavano le debolezze dei file PDF (e del Flash player) ad esempio per installare malware all'insaputa del malcapitato utente e creare botnets  (come Zeus-http://www.computerworld.com/s/article/9175612/Zeus_botnet_exploits_unpatched_PDF_flaw)...

5 di queste patches sono state scovate dal security engineer di Google Tavis Ormandy, lo stesso che in questi giorni ha comunicato a Microsoft di avere 5 giorni di tempo per fixare un bug di sicurezza 0-day nel sistema operativo XP Service Pack 2 e 3 con software IE7 e IE8 riguardante l'Help ed il Support Center (http://www.computerworld.com/s/article/9177948/Google_researcher_gives_Microsoft_5_days_to_fix_XP_zero_day_bug)...

Altro fix relativo alle 17 vulnerabilita' patchate riguarda il bug risalente a Marzo scorso e scoperto dal ricercatore belga Didier Stevens il quale ha dimostrato come, attraverso un processo di attacco “multi-stage” e' possibile exploitare una versione dell'Adobe Reader stabile (fully-patched). Inoltre, Stevens ha dimostrato come, attraverso una semplice tecnica di ingegneria sociale attraverso la visualizzazione di un fake disclaimer, e' possibile convincere l'utente a compiere una determinata azione (click su un link, pulsante, etc.) consentendo cosi' all'attacker di eseguire il codice embedded contenuto nel PDF e portare a termine l'attacco, il che ad esempio, puo' risultare anche nell'installazione di virus, trojan, etc.

Le versioni patchate sono la 9.3.3 per il Reader e la 8.2.3 per l'Acrobat.

Ulteriori informazioni le potete trovare sul sito:

http://www.adobe.com/support/security/bulletins/apsb10-15.html

La versione aggiornata del player Flash la potete trovare qui:

http://labs.adobe.com/technologies/flashplayer10/