Il più noto hacker (white hat) italiano, Raoul Chiesa, fondatore della società di sicurezza Swascan, ha scoperto 5 vulnerabilità relative al Web Server di adobesandbox.com. Quest'ultimo, com'è risaputo, attraverso differenti host consente di gestire in ambiente protetto i file PDF minimizzando ogni rischio.
"Una 'sandbox' è un ambiente protetto usato per eseguire programmi untrusted", spiegano gli specialisti di Swascan. "Ogni PDF, di default, viene considerato come potenzialmente pericoloso, questo è il motivo per cui ognuno di essi viene eseguito in una sandbox che limita alcune funzionalità e minimizza potenziali criticità".
Il problema è che il Vulnerability Hunting Team della società italiana durante la sua analisi di sicurezza, concordata con Adobe, ha rilevato diverse criticità che sono state poi prontamente segnalate al Product Security Incident Response Team (PSIRT) dell'azienda.
Nello specifico la gran parte delle vulnerabilità e delle esposizioni trovate dipendevano da un servizio di terza parte: Adobe e il suo servizio Sandbox che il cliente ha acquistato per uso interno. 1 vulnerabilità classificata come High, 2 come Medium e 2 come Low "possono facilmente impattare l’integrità, la disponibilità e la confidenzialità dei sistemi".
La buona notizia è legata al fatto che la collaborazione tra software vendor e aziende di CyberSecurity è proficua quando avviene. Ogni vulnerabilità infatti è stata immediatamente affrontata e risolta.
"L’attenzione che Adobe ha dimostrato verso le nostre scoperte, unitamente agli scambi di e-mail, le valutazioni, le attività di remediation e i tempi di risoluzione sono stati tra i più seri, professionali e trasparenti che abbiamo potuto testimoniare nelle nostre carriere: complimenti agli esperti di security, i reverse engineer e i programmatori che lavorano ad Adobe", concludono gli esperti della società italiana.
"I CERT e i PSIRT hanno un ruolo fondamentale nell’ecosistema della sicurezza nel mondo digitale in cui viviamo. La nostra speranza è quella di trovare sempre più team preparati, proprio come il team di Adobe PSIRT che ha mostrato un comportamento esemplare oltre a elevata considerazione e cura verso i propri clienti".
Da ricordare che Swascan è la piattaforma di CyberSecurity Testing, fondata da Raoul Chiesa e Pierguido Lezzi, che permette di identificare, analizzare e risolvere vulnerabilità e problemi di sicurezza relativi a siti internet, web application, network e codice sorgente. Questa attività garantisce la Security Governance e la Compliance al GDPR.