Kolejna luka w Adobe Readerze
12 lutego 2010 15:58, securitystandard
Firma Adobe Systems znów musi łatać swoje flagowe produkty - Adobe Readera i Acrobata. Wiadomo już, że poprawka usuwająca nowy, krytyczny błąd w zabezpieczeniach pojawi się w najbliższych dniach (tym razem firma nie zamierza tygodniami zwlekać z załataniem Readera).
Ujawniona właśnie luka umożliwia przeprowadzenie na komputer z zainstalowanym Readerem lub Acrobatem ataku typu "cross-site request forgery" - wystarczy, że użytkownik wyświetli w przeglądarce internetowej osadzony na stronie WWW i odpowiednio spreparowany plik PDF. Specjaliści z Adobe już potwierdzili informację o błędzie i przyznali, że jego załatanie jest krytyczne dla bezpieczeństwa użytkowników. Firma tworzy już odpowiednią poprawkę - ma ona zostać udostępniona w najbliższy wtorek.
Ale to nie wszystko - Adobe udostępnił właśnie także poprawkę dla Flash Playera, usuwającą z niego kolejny krytyczny błąd. To ta sama luka, co opisany powyżej błąd w Readerze i Acrobacie (wszystkie te aplikacji mają pewne wspólne komponenty). Problem dotyczy produktów Adobe w wersjach na wszystkie platformy systemowe - Windows, Unix i Mac OS X.
Dodajmy, że firma zwykle udostępnia aktualizacje dla swoich produktów raz na kwartał - ostatni zestaw pojawił się w połowie stycznia, więc na kolejny powinniśmy czekać teoretycznie aż do połowy kwietnia. Adobe do tej pory dość restrykcyjnie trzymał się tego terminarza - firma niedawno zwlekała prawie miesiąc z załataniem Readera (błędy w aplikacji wykryto w połowie grudnia, zaś poprawka pojawiła się dopiero w połowie stycznia), czym ściągnęła na siebie krytykę specjalistów ds. bezpieczeństwa. Adobe najwyraźniej chce uniknąć powtórzenia tej sytuacji - dlatego tym razem poprawki pojawią się znacznie szybciej (w niespełna tydzień od potwierdzenia błędu).
Szybkie uaktualnienie Readera i Acrobata jest niezbędne, ponieważ przestępcy mogą sprawdzić, co dokładnie zostało załatane we Flash Playerze (analizując udostępnioną wczoraj poprawkę) i odkryć tym samym nowy sposób na zaatakowanie aplikacji do obsługi PDF. Przedstawiciele Adobe mają jednak nadzieję, że zanim to się stanie, to udostępniony zostanie stosowny patch. Wiadomo, że na razie zagrożenie jest minimalne - do firmy nie dotarły jeszcze żadne informacje o nowych typach ataków na użytkowników Readera czy Acrobata.
Na szczęście istnieje stosunkowo prosty sposób zabezpieczenia się przed atakiem - jeśli jakiś plik PDF wydaje nam się podejrzany, należy go pobrać na dysk i otworzyć za pomocą Adobe Readera (problem występuje tylko wtedy, gdy plik otwierany jest bezpośrednio z poziomu przeglądarki).
Więcej informacji o łatce dla Flash Playera można znaleźć na stronie Adobe (tam też znajduje się opis problemu z bezpieczeństwem Readera i Acrobata).
Ale to nie wszystko - Adobe udostępnił właśnie także poprawkę dla Flash Playera, usuwającą z niego kolejny krytyczny błąd. To ta sama luka, co opisany powyżej błąd w Readerze i Acrobacie (wszystkie te aplikacji mają pewne wspólne komponenty). Problem dotyczy produktów Adobe w wersjach na wszystkie platformy systemowe - Windows, Unix i Mac OS X.
Dodajmy, że firma zwykle udostępnia aktualizacje dla swoich produktów raz na kwartał - ostatni zestaw pojawił się w połowie stycznia, więc na kolejny powinniśmy czekać teoretycznie aż do połowy kwietnia. Adobe do tej pory dość restrykcyjnie trzymał się tego terminarza - firma niedawno zwlekała prawie miesiąc z załataniem Readera (błędy w aplikacji wykryto w połowie grudnia, zaś poprawka pojawiła się dopiero w połowie stycznia), czym ściągnęła na siebie krytykę specjalistów ds. bezpieczeństwa. Adobe najwyraźniej chce uniknąć powtórzenia tej sytuacji - dlatego tym razem poprawki pojawią się znacznie szybciej (w niespełna tydzień od potwierdzenia błędu).
Szybkie uaktualnienie Readera i Acrobata jest niezbędne, ponieważ przestępcy mogą sprawdzić, co dokładnie zostało załatane we Flash Playerze (analizując udostępnioną wczoraj poprawkę) i odkryć tym samym nowy sposób na zaatakowanie aplikacji do obsługi PDF. Przedstawiciele Adobe mają jednak nadzieję, że zanim to się stanie, to udostępniony zostanie stosowny patch. Wiadomo, że na razie zagrożenie jest minimalne - do firmy nie dotarły jeszcze żadne informacje o nowych typach ataków na użytkowników Readera czy Acrobata.
Na szczęście istnieje stosunkowo prosty sposób zabezpieczenia się przed atakiem - jeśli jakiś plik PDF wydaje nam się podejrzany, należy go pobrać na dysk i otworzyć za pomocą Adobe Readera (problem występuje tylko wtedy, gdy plik otwierany jest bezpośrednio z poziomu przeglądarki).
Więcej informacji o łatce dla Flash Playera można znaleźć na stronie Adobe (tam też znajduje się opis problemu z bezpieczeństwem Readera i Acrobata).
Komentarze
Nikt nie dodał‚ jeszcze komentarza.
reklama
Popularne produkty
Smartfon SAMSUNG S5330 Wave 2 Pro
Smartfon SAMSUNG S5330 Wave 2 Pro
w 5
sklepach od 506,00 zł
Smartfon SAMSUNG S5330 Wave 2 Pro
Pobierz bezpłatnego e-booka 
Ebook 20 lat polskiej sieci to kompletna charakterystyka polskiego internetu (oraz polskiego internauty). Odpowiadamy na pytanie, jak wygląda nasz kraj na tle bliższych i dalszych europejskich sąsiadów pod względem popularyzacji szerokopasmowych łączy internetowych i rynku mobilnego. Wymieniamy również wady i zalety korzystania z bezpłatnych punktów dostępowych.
Kariera w IT 2012
Uczelnie, rynek pracy, rekrutacja, pracodawcy, rozwój zawodowy - czyli wszystko, co chcielibyście wiedzieć o pracy specjalistów IT w Polsce. Piszemy jakie uczelnie wybrać, dlaczego warto studiować informatykę i kierunki techniczne, jak wygląda proces rekrutacji i jak dobrze wypaść przed pracodawcą, opisujemy pracodawców - firmy IT - i możliwe ścieżki kariery.
Rekomendacje
reklama
Program miesiąca
reklama