Acrobat Reader má být bezpečnější

Společnost Adobe v reakci na řadu kritických zranitelností objevených v jejích produktech pro zpracování PDF slibuje zlepšení. Kromě většího důrazu na bezpečnost aplikací budou záplaty vydávány rychleji a objeví se i pravidelný cyklus aktualizací. JavaScript ale zůstane.


V poslední době bylo v Acrobat Readeru objeveno několik zranitelností; protože vydání záplaty trvalo dlouho, šlo po celou dobu o chyby typu zero day.

Viz také:

Aktualizaci Acrobat Readeru se nevyplatí odkládat

Adobe přiznává další kritickou chybu v Acrobat Readeru

 

Brad Arkin, ředitel Adobe pro zabezpečení a soukromí, uvedl pro americký Computerworld, že společnost už v říjnu spustila projekt, který by měl kromě opravy objevených chyb také projít kód Acrobatu i Readeru a speciálně analyzovat kód převzatý ze starších verzí a kód nacházející se v „rizikových“ oblastech.

Adobe vyvíjí nový kód pomocí metodiky SPLC (Secure Product Lifecycle), která má být podobná systému Microsoftu SDL (Software Development Lifecycle). Arkin uvedl, že firma celý přístup nyní použije i na starší části kódu. Přirovnal probíhající proces k úsilí Microsoftu, který provedl podobnou analýzu celého zdrojového kódu před uvedením Windows XP.

Adobe chce také změnit komunikaci s uživateli a vyhnout se situaci, kdy opravu uvede jen pro nejnovější verze a pro ty starší až se zpožděním několika týdnů. Útočníci mohou pomocí analýzy opravy samozřejmě ještě zpřesnit své znalosti o zranitelnosti a uživatelé, kteří nemohou záplatovat, jsou v takovém případě ohroženi o to víc.

Adobe chce od nynějška vydávat záplaty a aktualizace podobně jako Microsoftu každé druhé úterý v měsíci. Tím by uživatelé neměli mít problém si na tento termín zvyknout. Adobe ovšem nechce opravy vydávat každý měsíc, ale jednou za čtvrt roku – tento cyklus odstartuje zřejmě někdy v létě.

Poslední zranitelnosti se týkaly alespoň částečně JavaScriptu, Adobe ale odmítla, aby tuto funkci ve výchozím nastavení Acrobatu a Acrobat Readeru vypnula. Podle Arkina představuje podpora JavaScriptu důležitou funkci pro podnikové uživatele a Arkin namísto toho prohlásil, že se firma pokusí dodat do produktu analyzátor, který by javascriptový kód spustil jen v případě, že bude bezpečný.

Společnost F-Secure uvedla, že u cílených útoků pomocí e-mailu letos výrazně vzrostl podíl těch, které jako hlavní zbraň používají právě podvržený PDF soubor.

 

 











Komentáře