Epidemia luk JavaScript w produktach Adobe?
25 czerwca 2008 14:08 Daniel Cieślak
Koncern Adobe Systems załatał właśnie programy Reader oraz Acrobat - usunięto z nich niebezpieczne błędy związane ze skryptami JavaScript. Zdaniem niektórych specjalistów, firma ma ostatnio stanowczo zbyt dużo problemów z takimi lukami - Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security, nazwał to zjawisko prawdziwą "epidemią dziur".
W obu załatanych właśnie aplikacjach usunięto ten sam błąd związany z obsługą JavaScript - w obu przypadkach problem uznano za krytyczny (oznacza to, że luka może zostać wykorzystana do zaatakowania systemu bez żadnego działania ze strony użytkownika). Adobe udostępniła poprawki zarówno dla windowsowej, jak i makowej wersji Readera i Acrobata - firma zaleca użytkownikom jak najszybsze ich zainstalowanie, ponieważ błędy te są już wykorzystywane do atakowania użytkowników.
"W Adobre Readerze i Acrobacie 8.1.2 (a także wcześniejszych wydaniach) wykryto krytyczny błąd. Luka ta może spowodować zawieszenie się aplikacji, a w pewnych okolicznościach pozwala także atakującemu na przejęcie pełnej kontroli nad systemem" - tłumaczą przedstawiciele Adobe. Koncern poinformował też, że problem dotyczy modułu odpowiedzialnego za autoryzowanie wprowadzanych danych i związany jest ze skryptami JavaScript.
Warto przypomnieć, że jest to kolejna w ostatnim czasie podobna luka związana z JavaScript w produktach Adobe - podobne błędy usunięto w Acrobacie i Readerze kilkanaście tygodni temu, wraz z udostępnieniem wydania 8.1.2. Firma załatała wtedy ok. 30 różnych luk - ku zaskoczeniu specjalistów ds. bezpieczeństwa (oraz wcześniejszej praktyce Adobe) nie ujawniono wtedy żadnych informacji na temat problemów. Szerzej pisaliśmy o tym w tekście "Nowa wersja Adobe Readera".
"Adobe najwyraźniej ma problem z epidemią luk związanych z JavaScript - gdy w krótkim czasie ujawnionych zostaje aż tyle podobnych problemów, ludzie zaczynają zadawać sobie różne pytania. Na przykład: po co w ogóle w tak rozbudowanym programie jak Adobe Acrobat korzystać ze skryptów JavaScript, szczególnie, jeśli od dawna wiadomo, że przestępcy wykorzystują luki w tej technologii do atakowania użytkowników? I dlaczego Adobe wciąż nie poradził sobie ze wszystkimi takimi błędami, skoro od miesięcy wiadomo, że są one celem kryminalistów?" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.
Z informacji udostępnionych przez Adobe wynika, że załatania wymagają zarówno najnowsze wersje aplikacji Reader (darmowy czytnik PDF) oraz Acrobat (płatny program do tworzenia publikacji elektronicznych) - czyli 8.1.2, jak i wcześniejsze wydania - 8.0 oraz 7.1.0. Najnowsze wersje - czyli dostępne na razie w wydaniach testowych Reader 9 i Acrobat 9 - nie są podatne na atak i nie wymagają uaktualniania.
Więcej informacji o problemie oraz pliki do pobrania znaleźć można na stronie firmy Adobe.
"W Adobre Readerze i Acrobacie 8.1.2 (a także wcześniejszych wydaniach) wykryto krytyczny błąd. Luka ta może spowodować zawieszenie się aplikacji, a w pewnych okolicznościach pozwala także atakującemu na przejęcie pełnej kontroli nad systemem" - tłumaczą przedstawiciele Adobe. Koncern poinformował też, że problem dotyczy modułu odpowiedzialnego za autoryzowanie wprowadzanych danych i związany jest ze skryptami JavaScript.
Warto przypomnieć, że jest to kolejna w ostatnim czasie podobna luka związana z JavaScript w produktach Adobe - podobne błędy usunięto w Acrobacie i Readerze kilkanaście tygodni temu, wraz z udostępnieniem wydania 8.1.2. Firma załatała wtedy ok. 30 różnych luk - ku zaskoczeniu specjalistów ds. bezpieczeństwa (oraz wcześniejszej praktyce Adobe) nie ujawniono wtedy żadnych informacji na temat problemów. Szerzej pisaliśmy o tym w tekście "Nowa wersja Adobe Readera".
"Adobe najwyraźniej ma problem z epidemią luk związanych z JavaScript - gdy w krótkim czasie ujawnionych zostaje aż tyle podobnych problemów, ludzie zaczynają zadawać sobie różne pytania. Na przykład: po co w ogóle w tak rozbudowanym programie jak Adobe Acrobat korzystać ze skryptów JavaScript, szczególnie, jeśli od dawna wiadomo, że przestępcy wykorzystują luki w tej technologii do atakowania użytkowników? I dlaczego Adobe wciąż nie poradził sobie ze wszystkimi takimi błędami, skoro od miesięcy wiadomo, że są one celem kryminalistów?" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.
Z informacji udostępnionych przez Adobe wynika, że załatania wymagają zarówno najnowsze wersje aplikacji Reader (darmowy czytnik PDF) oraz Acrobat (płatny program do tworzenia publikacji elektronicznych) - czyli 8.1.2, jak i wcześniejsze wydania - 8.0 oraz 7.1.0. Najnowsze wersje - czyli dostępne na razie w wydaniach testowych Reader 9 i Acrobat 9 - nie są podatne na atak i nie wymagają uaktualniania.
Więcej informacji o problemie oraz pliki do pobrania znaleźć można na stronie firmy Adobe.
Komentarze (3)
- erwr
- 2008-06-25 15:15:37
W linuksowej wersji nie było tej luki? Bo nie wiem czy aktualizować do wersji 8...
- popdruid
- 2008-06-25 17:46:53
Jak widać JavaScript to język stary ale jeszcze wciaż jary - he, he...
- tad
- 2008-06-25 19:56:18
JavaScript - jary język? to może COBOL też jest jary? Właśnie to jest podstawa problemów - kosztowne języki, kosztowne architektury kosztowne narzędzia (dla deweloperów i projektantów - a tych grup koszt jest decydującym kosztem) przy tworzeniu i modyfikacji poważnych i niepoważnych systemów. I m.in. dlatego linuksy przegrywają - a nie dlatego, że jądro jest złe (czyli Linux) bojest takie sobie - bo wciąż wymaga rekompilacji, bo wciąż jest niejednorodnym molochem z tendencją do tworzenia poczków (w przyszłości raków?).
reklama
Popularne produkty
Trampolina Body Sculpture 366cm
Trampolina Body Sculpture 366cm
w 19
sklepach od 939,00 zł
Trampolina Body Sculpture 366cm
Smartfon SAMSUNG Galaxy Note
Smartfon SAMSUNG Galaxy Note
w 53
sklepach od 1839,00 zł
Smartfon SAMSUNG Galaxy Note
Pobierz bezpłatnego e-booka 
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
Rekomendacje
Program miesiąca
reklama