Adobe rafforza la sicurezza in Reader, Acrobat XI con funzionalità aggiunte

Adobe Reader e Adobe Acrobat XI lanciati di recente hanno nuove funzionalità di sicurezza e una sandbox migliorata che renderà i prodotti più difficili da attaccare e sfruttare, secondo Adobe.

La funzionalità di sandboxing conosciuta come modalità protetta introdotta per la prima volta in Adobe Reader X si è dimostrata efficace nel mitigare gli exploit PDF tradizionali. La tecnologia funziona isolando alcune operazioni di Adobe Reader in un ambiente strettamente controllato e rende molto difficile agli hacker scrivere e eseguire codice dannoso su un sistema dopo aver sfruttato una vulnerabilità nel prodotto.

"Da quando abbiamo aggiunto la protezione sandbox ad Adobe Reader e Acrobat, non abbiamo visto alcun exploit allo stato selvatico che abbia distrutto la sandbox Adobe Reader e Acrobat X ", ha detto Mercy in un post sul blog, Priyank Choudhury, ricercatore di sicurezza all'interno del team di Adobe Secure Software Engineering.

[Ulteriori informazioni lettura: come rimuovere malware dal PC Windows]

Tuttavia, ciò non significa che la sandbox di Adobe Reader X possa prevenire tutti i tipi di attacchi. Ad esempio, sandbox è stato progettato principalmente per limitare le operazioni di scrittura, non per leggerle, il che significa che potenziali aggressori possono rubare informazioni sensibili da un sistema dopo aver sfruttato una vulnerabilità di Adobe Reader X.

Non è più un problema in Adobe Reader XI, Choudhury ha detto. "In Adobe Reader XI, abbiamo aggiunto funzionalità di prevenzione dei furti di dati estendendo la sandbox per limitare le attività di sola lettura per proteggere gli autori di attacchi che cercano di leggere le informazioni sensibili sul computer dell'utente."

"Avevo avvertito prima che Adobe La sandbox di Reader X è una sandbox di scrittura, ad es quella lettura è ancora completamente permessa e quindi consente ancora il furto di informazioni ", ha detto Didier Stevens, ricercatore di sicurezza noto per il suo lavoro di sicurezza in PDF, giovedì via e-mail. "Ho provato quello."

Stevens presume che il nuovo modello di sandbox in Adobe Reader XI proibisca la lettura di file e chiavi di registro, ma non ha ancora avuto la possibilità di testarlo. Se questo è il caso, sarebbe un miglioramento importante, ha detto.

La nuova versione di Adobe Reader è inoltre dotata di una modalità di visualizzazione protetta che rafforza ulteriormente la sandbox creando una finestra separata, un blocco appunti e un desktop separati per il processo di visualizzazione PDF. Questa funzione è progettata per bloccare i cosiddetti attacchi screen-scraping in cui un'applicazione legge i dati dall'output di un altro programma in esecuzione sullo stesso desktop.

Adobe Acrobat aveva già una modalità di visualizzazione protetta che è stata migliorata nel nuova versione. "La vista protetta si comporta in modo identico per Adobe Reader e Acrobat, sia per la visualizzazione di file PDF nel prodotto standalone o nel browser", ha affermato Choudhury.

Il supporto per la tecnologia ASLR (Address Space Layout Randomization), una tecnologia anti-sfruttamento basata sulla memoria, è stato anche migliorato nelle nuove versioni di Adobe Reader e Acrobat.

ASLR può essere difficile da implementare in un programma, perché tutti i suoi file eseguibili e le librerie di collegamento dinamico (DLL) devono supportarlo affinché la protezione sia completamente efficace.

"In Adobe Reader e Acrobat XI, abbiamo abilitato il supporto per Force ASLR su Windows 7 e Windows 8", ha affermato Choudhury. "Forza ASLR migliora l'efficacia delle implementazioni ASLR esistenti garantendo che tutte le DLL caricate da Adobe Reader o Acrobat XI, incluse le DLL legacy senza ASLR abilitato, siano randomizzate."

Inoltre, Adobe Reader e Acrobat XI beneficiano di un nuovo PDF Whitelisting Framework che consentirà agli amministratori di sistema, soprattutto in ambienti aziendali, di abilitare funzionalità specifiche come JavaScript solo per selezionare file PDF, siti o host.

Molti ricercatori di sicurezza consigliano di disabilitare il supporto JavaScript in Adobe Reader e Acrobat perché la maggior parte degli exploit PDF richiedono il funzionamento di JavaScript. Tuttavia, questa funzionalità può anche avere scopi legittimi, quindi disattivarla per tutti in un ambiente aziendale potrebbe risultare poco pratica.

Il nuovo Adobe Reader e Acrobat XI supportano anche le firme digitali dei contenuti che utilizzano Elliptic Curve Cryptography (ECC). "Ora gli utenti possono incorporare automaticamente le informazioni di convalida a lungo termine quando utilizzano le firme dei certificati e utilizzano le firme dei certificati che supportano le credenziali basate sulla crittografia a curva ellittica (ECC)", ha detto Choudhury.