Aggiornamenti recenti Luglio 10th, 2020 10:48 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Tsunami: il software di sicurezza targato Google diventa open
- Sul Dark Web sono in vendita 15 miliardi di credenziali rubate
- Mozilla sospende Firefox Send: “usato per distribuire malware”
- Allarme dei servizi segreti USA: i pirati prendono di mira gli MSP
- Hackerano siti di news per colpire decine di aziende
Spunta una vulnerabilità vecchia di 6 anni nei PDF viewer
La falla di sicurezza affligge quasi tutti i software in circolazione, con l’esclusione di OS X e Adobe. Ora la corsa all’aggiornamento.
La prima volta che è stata individuata era il 2011 e sembrava interessasse soltanto un componente di Evinence, un’app per la visualizzazione di documenti in formato PDF su piattaforma Linux.
Secondo il ricercatore Hanno Böck, però, la stessa falla interesserebbe la maggior parte dei visualizzatori oggi in circolazione, compresi quelli utilizzati nei browser.
Il bug permette di provocare un loop che esaurisce le risorse del processore e si trasforma in buona sostanza in uno strumento per portare un attacco DoS (Denial of Service) al browser.
Certo, non si tratta di una falla clamorosa e, in particolare, è piuttosto difficile che qualcuno possa trasformarla in un vero e proprio exploit. In ogni caso rimane un problema con cui è necessario fare i conti.
Mandare in crash un browser usando un file PDF può essere usato come vettore di attacco? Al momento non sembra, ma non si sa mai…
Böck ha individuato il problema nel componente integrato in Chrome (PDFium) così come in quello utilizzato da Firefox, in questo caso nella libreria usata per visualizzare i file in formato PDF senza l’uso di plugin. Sia Google che Mozilla hanno comunque già reso disponibili gli update che risolvono il problema.
L’elenco delle vittime comprende (ovviamente) Microsoft Edge, per il quale però non sembra sia ancora pronto il fix. Immuni, invece, lo storico Acrobat Reader di Adobe e il software Apple integrato in OS X.
Difficile capire quanto il bug possa impattare sui tanti software per la visualizzazione e la gestione dei PDF in circolazione. Il ricercatore tedesco, in ogni caso, ha pubblicato su GitHub un file di test che permette agli sviluppatori di eseguire i test per verificare la “tenuta” delle app.
Condividi l'articolo
In arrivo una pioggia di ransomware vecchi e nuovi
Hacker all'attacco di MongoDB. Colpiti 26.000 server
Articoli correlati
Altro in questa categoria
La guida da scaricare: i 14 problemi più comuni nelle grandi aziende
Approfondimenti
-
La crittografia è diventata una priorità Lo dice il Thales Data Threat Report 2020. Le aziende... -
WatchGuard acquisisce Panda Security: cosa significa? Dopo aver manifestato l’intenzione di acquisire Panda... -
La cybersecurity raccontata con i “fumetti” Registro.it (www.registro.it) è l’anagrafe dei... -
Quando i rischi più gravi provengono dall’interno Le minacce non arrivano solo dall’esterno. Spesso gli... -
CyberArk: prima di tutto proteggere gli account Nell’ecosistema IT gli utenti non sono tutti uguali. Ecco...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Tsunami: il software di sicurezza targato Google diventa... Il colosso statunitense ha deciso di rilasciare liberamente... -
Sul Dark Web sono in vendita 15 miliardi di credenziali... Il numero di username e password sottratti è aumentato... -
Mozilla sospende Firefox Send: “usato per distribuire... Il servizio per l’invio e la condivisione di file... -
Allarme dei servizi segreti USA: i pirati prendono di mira... Gli attacchi nei confronti dei Managed Service Provider... -
Hackerano siti di news per colpire decine di aziende Il gruppo Evil Corp ha usato una strategia in due...
Tsunami: il software di sicurezza targato Google diventa open
Il colosso statunitense ha deciso di rilasciare liberamente la sua... Continua →
Vocabolario della sicurezza
Guide alla sicurezza
Il futuro dell’autenticazione multi-fattore è hardware
Il superamento di username e password è una necessità. Ma...
DDoS e attacchi alle Web Application: le nuove sfide
Le tecniche di attacco sono in continua crescita ed evoluzione....
Credential Stuffing: i costi per le aziende e le contromisure
Uno studio del Ponemon Institute, condotto intervistando 569 IT manager...
I rischi di sicurezza nell’IoT e come porre un primo rimedio
Gli accessori connessi a Internet sono la nuova frontiera delle...
Guida completa a Instagram per genitori
Instagram è uno dei social network più conosciuti su internet....