David Lenoe, program manager di Adobe ha fatto sapere che la software house è a conoscenza di un pericoloso bug per il quale si sta indagando e individuando un rimedio. In sostanza sarebbe possibile inserire in un file .EPS di Illustrator codice malevolo. Non sono noti casi che sfruttano specificatamente il baco in questione, ma una prova concettuale della vulnerabilità è in circolazione da qualche tempo su siti con materiali per hacker.
Secunia, azienda specializzata in sicurezza, ha confermato che la falla riguarda Illustrator, sia nella versione inclusa nella Creative Suite CS3, sia l’ultima inclusa nella Creative Suite CS4.
La vulnerabilità sfrutta un bug nel parser dei file Encapsulated Postscript Files (.eps) e consente l’esecuzione in memoria di codice sfruttando particolari file eps. appositamente predisposti per l’attacco.
Non è la prima volta che i software di Adobe sono sfruttati per portare a termine attacchi malevoli: la popolarità e la grande diffusione dei programmi della casa di San Jose, li rende il mezzo ideale per attaccare in modo invisibile utenti e grandi aziende.
Giovedì scorso Adobe ha rilasciato patch per risolvere alcuni bug si sicurezza nel Flash Player e in AIR. Questi bug non sono in alcun modo legati alla nuova vulnerabilità di Illustrator.
[A cura di Mauro Notarianni]
