:

Szerző: Bodnár Ádám

2010. július 1. 15:28

Több mint egy tucat kritikus sebezhetőséget javított az Adobe

Soron kívül frissítette a Flash Playert és a Readert, a vállalat 17 hibát javított a termékekben, amelyek közül nem kevesebb mint 16 adott lehetőséget a támadóknak távoli kódfuttatásra.

A sérülékenységek a Reader és az Acrobat 9.3.2 és korábbi verzióit érintették az összes támogatott operációs rendszeren (Windows, UNIX, Mac OS X), az Adobe mindenkinek javasolja a frissítést 9.3.3 verzióra. Az Adobe egy ideje a Microsofthoz hasonló frissítési ciklus mentén minden hónap második keddjén adja ki frissítéseit a termékekhez. A soron kívüli javításra most azért volt szükség, mert a sebezhetőségek június közepén nyilvánosságra kerültek és megkezdődött azok célzott kihasználása is.

A 17 hibából egyébként ötöt Travis Ormady, a Google biztonsági szakértője jelentett az Adobe-nak, aki nemrég azzal hívta fel magára a figyelmet, hogy nyilvánosságra hozott egy Windows-sebezhetőséget mindössze öt nappal azután, hogy tájékoztatta a Microsoftot. "Mindent visszaszívok amit valaha az Adobe biztonságáról mondtam, élmény volt velük dolgozni" írta Twitter-bejegyzésében. "A Microsoft tanulhatna ezekről a srácoktól."

A Reader és Acrobat 9.3.3 verziójában az Adobe végre orvosolta azt a tervezési hibát is , amely miatt a dokumentumokba ágyazott kódok automatikusan lefutottak, ezzel lehetőséget adtak a támadóknak, hogy tetszőleges programot csempésszenek az áldozatok gépeire. Az Adobe Reader ugyan figyelmezteti a felhasználót, amikor kódindításra kerül sor, de Didier Stevens, a Contraste Europe biztonsági szakértője bemutatta, hogyan lehet ezt a párbeszédablakot úgy módosítani, hogy az megtévessze a felhasználót és kimondottan kérje a kód végrehajtását.

Nem sebezhetőség kihasználásáról van szó, hanem a PDF nyelv specifikációjának "kreatív használatáról", vélekedett Stevens. A 9.3.3 verzióban az automatikus kódfuttatás már ki van kapcsolva és a párbeszédablak tartalmát sem lehet a Stevens által dokumentált módszerrel megváltoztatni. Stevens egyébként blogjában megerősítette, hogy az általa leírt módszer a frissítés után már nem működik.

A Reader és Acrobat felhasználói a beépített automatikus frissítés segítségével tehetik naprakésszé a szoftvereket, illetve letölthetik a legújabb verzió az Adobe oldaláról.

a címlapról