Come bloccare i virus dei file PDF
La settimana scorsa, diverse società di sicurezza hanno avvertito di una grande campagna di malware che ha cercato di ingannare gli utenti facendogli aprire dei PDF truccati che sfruttato un difetto di progettazione senza patch del formato PDF, un hacker potrebbe usare questa vulnerabilità per infettare gli utenti del software di Adobe.
Tale difetto nella funzione “/Launch” della specifica PDF è stato divulgato a fine marzo dal ricercatore sulla sicurezza belga Didier Stevens, che ha dimostrato come potrebbe abusare di questa funzionalità per eseguire malware incorporato in un documento PDF. Ha anche riferito che ha capito come cambiare l’avviso di Adobe Reader per migliorare la truffa.
Gli attacchi che hanno sfruttato il difetto /Launch hanno raggiunto il loro apice la settimana scorsa, venerdì 28 aprile e ora sono quasi nulli. Questo quanto detto dai ricercatori della squadra X-Force IBM Internet Security Systems.
Gli attacchi basati su PDF sono un grave problema. Secondo il recente quadro del produttore di software antivirus McAfee, Gli exploit PDF sono cresciuti più di otto volte nel 2009 rispetto all’anno precedente, una tendenza che ha continuato fino ad oggi, nel 2010. Anche Microsoft e Symantec hanno osservato un aumento in exploit inseriti in documenti PDF.
Foxit Software, lo sviluppatore di un visualizzatore di PDF rivale di Sdobe Reader, ha rilasciato ieri un aggiornamento che blocca alcuni attacchi con una “safe mode” che è attivata per impostazione predefinita.
La versione 3.3 Di Foxit Reader per Windows include una funzionalità che la Foxit ha soprannominato “Trust Manager,” che blocca tutti i comandi esterni che possono essere inseriti in un documento PDF. La nuova versione è progettata per arginare alcuni canali di attacco comuni che gli hacker utilizzano quando sondano un PC con i bug del formato PDF o in un’applicazione Visualizzatore.
Il testo di accompagnamento dell’aggiornamento spiega: ”La versione 3.3 di Foxit Reader consente agli utenti di abilitare o negare le azioni non autorizzate e la trasmissione dei dati, comprese il link ad URL, azzioni degli allegati ai PDF e funzioni JavaScript.”
Foxit è il solo, finora, ad affrontare il problema /Launch. Adobe ha rifiutato di rispondere a domande sul fatto che il cattivo utilizzo della funzione richieda all’azienda di aggiornare Reader e Acrobat. Tuttavia, Brad Arkin, capo della sicurezza e della privacy di Adobe, ha riconosciuto che una possibile soluzione sarebbe di disattivare /Launch; che attualmente è attivata per impostazione predefinita.
La versione 3.3 di Foxit Reader può essere scaricata gratuitamente dal sito Web dell’azienda.
Fonte: Computerworld.com
