Alert GCSA-11085 - APSB11-30 Vulnerabilità in Adobe Reader/Acrobat

******************************************************************

Alert ID : GCSA-11085
Data : 19 Dicembre 2011
Titolo : APSB11-30 Vulnerabilita' in Adobe Reader/Acrobat

******************************************************************

Descrizione del problema

Adobe ha rilasciato il Bolletino di Sicurezza APSB11-30 per correggere due vulnerabilita' presenti nei prodotti Adobe Reader e Acrobat legate alla visualizzazione dei contenuti U3D all'interno di file PDF.

Software interessato

  • Adobe Reader X (10.0.1) e precedenti per Windows e Macintosh
  • Adobe Reader 9.4.6 e precedenti per Windows, Macintosh e Linux
  • Adobe Acrobat X (10.1.1) e precedenti per Windows e Macintosh
  • Adobe Acrobat 9.4.6 e precedenti per Windows e Macintosh

Impatto

  • Esecuzione di codice arbitrario
  • Privilege escalation
  • Denial of service

Soluzioni

Adobe raccomanda agli utenti Windows che abbiano installato Reader e Acrobat versione 9.4.6 di aggiornare alla versione 9.4.7.

Per gli utenti di Adobe Reader/Acrobat X (Windows e Macintosh) e Adobe Reader per Unix versione 9.x Adobe ha pianificato il rilascio di una patch nel Bollettino di Sicurezza di gennaio 2012.

Altri possibili workaround per mitigare le vulnerabilità sono l'attivazione della modalita' Protected View/Mode di Adobe Reader/Acrobat X e il blocco del supporto alla visualizzazioni di contenuti U3D (http://www.kb.cert.org/vuls/id/759307 per maggiori dettagli).

Riferimenti

Adobe (APSB11-30):
https://www.adobe.com/support/security/bulletins/apsb11-30.html

Adobe (APSA11-04):
http://www.adobe.com/support/security/advisories/apsa11-04.html

Technical Cyber Security Alert TA11-350A
http://www.us-cert.gov/cas/techalerts/TA11-350A.html

Vulnerability Note VU#759307
http://www.kb.cert.org/vuls/id/759307

Security Focus
http://www.securityfocus.com/bid/50922

Secunia
http://secunia.com/advisories/47133/

Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2445
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2450
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2451
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2452
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2453
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2454
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2455
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2456
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2457
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2458
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2459
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2460
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2462
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4369