Adobe come Microsoft: è lei la nuova regina dell’insicurezza informatica?

Il livello di popolarità di un software è direttamente proporzionale al suo grado di vulnerabilità agli attacchi informatici. Basta seguire questo semplice assioma per giungere alla conclusione che Adobe potrebbe essere la nuova Microsoft.

E no, cari amici, non parliamo di alcuna new-entry nel mondo dei sistemi operativi. Ci riferiamo al fatto che, mentre nel 2002 si chiamava Windows, il bersaglio preferito dai criminali oggi risponde al nome di Adobe Reader piuttosto che Flash Player. Entrambi diffusissimi prodotti della celebre software house californiana che, con la sua pachidermica velocità nel rilasciare aggiornamenti di sicurezza, ricorda molto da vicino la Microsoft di qualche anno fa.

I numeri parlano abbastanza chiaro: i file PDF usati come veicolo per gli attacchi “drive by” sono passati dai preoccupanti 128 dell’Aprile 2008 ai catastrofici 2.300 dell’anno in corso. Per non parlare del dilagare di vulnerabilità zero day (ossia quelle che sfruttano un bug non ancora noto ed in merito il quale non sono state create patch correttive) in Adobe Reader che hanno complicato non poco la vita ad utenti casalinghi e, soprattutto, professionisti (prima fra tutte, quella della scorsa primavera che ci ha costretti a disabilitare gli javascript).


Quasi incredibile ma vero, lo stato delle cose è progredito così male che molti esperti di sicurezza, tra i quali Mikko Hypponen di F-secure, consigliano agli utenti di utilizzare lettori PDF alternativi e alla software house produttrice di Flash Player di “prendere esempio da Microsoft”.

Che si tratti di sovversivi pagati dalla Foxit per far fallire Adobe? No, è tutto vero ed i geek di non primissimo pelo lo ricorderanno. Nel lontano 2002, Microsoft lanciò infatti l’iniziativa Trustworthy Computing, con cui comunicava al mondo di voler mettere al centro del suo operato la sicurezza informatica e di voler fornire risposte molto più rapide alle falle individuate.

Com’è andata a finire lo sappiamo tutti, ma – parola di esperti – Adobe è ancora lontana dagli standard di sicurezza del colosso di Redmond (il che è tutto un dire). Tutto ciò, messo insieme alla recente scoperta di centinaia di file infetti destinati più al PDF Reader più popolare al mondo che al “solito” Microsoft Office, ha spinto l’azienda californiana a pianificare meglio le sue strategie, rilasciare patch correttive con cadenza trimestrale e fornire aggiornamenti in coincidenza con i bollettini di sicurezza Microsoft.

Programmi destinatari degli attacchi informatici nel 2008 e nel 2009

La strada da fare, però, è ancora lunga e piena di ostacoli. Anche perché, come puntualizzato da molti ricercatori in ambito di sicurezza informatica, applicazioni come Adobe Reader godono di un accesso troppo libero ai punti sensibili di Windows, con l’apertura e il salvataggio dei dati sul file system e l’accesso di scrittura/lettura sul disco fisso.

Tutte cose da sistemare, ed anche in fretta. Altrimenti provvederanno gli utenti a “sistemare” Adobe, a modo loro.

Via | CNET

Foto | Flickr