V poslední době bylo v Acrobat Readeru objeveno několik zranitelností; protože vydání záplaty trvalo dlouho, šlo po celou dobu o chyby typu zero day.
Viz také:
Aktualizaci Acrobat Readeru se nevyplatí odkládat
Adobe přiznává další kritickou chybu v Acrobat Readeru
Brad Arkin, ředitel Adobe pro zabezpečení a soukromí, uvedl pro americký Computerworld, že společnost už v říjnu spustila projekt, který by měl kromě opravy objevených chyb také projít kód Acrobatu i Readeru a speciálně analyzovat kód převzatý ze starších verzí a kód nacházející se v „rizikových“ oblastech.
Adobe vyvíjí nový kód pomocí metodiky SPLC (Secure Product Lifecycle), která má být podobná systému Microsoftu SDL (Software Development Lifecycle). Arkin uvedl, že firma celý přístup nyní použije i na starší části kódu. Přirovnal probíhající proces k úsilí Microsoftu, který provedl podobnou analýzu celého zdrojového kódu před uvedením Windows XP.
Adobe chce také změnit komunikaci s uživateli a vyhnout se situaci, kdy opravu uvede jen pro nejnovější verze a pro ty starší až se zpožděním několika týdnů. Útočníci mohou pomocí analýzy opravy samozřejmě ještě zpřesnit své znalosti o zranitelnosti a uživatelé, kteří nemohou záplatovat, jsou v takovém případě ohroženi o to víc.
Adobe chce od nynějška vydávat záplaty a aktualizace podobně jako Microsoftu každé druhé úterý v měsíci. Tím by uživatelé neměli mít problém si na tento termín zvyknout. Adobe ovšem nechce opravy vydávat každý měsíc, ale jednou za čtvrt roku – tento cyklus odstartuje zřejmě někdy v létě.
Poslední zranitelnosti se týkaly alespoň částečně JavaScriptu, Adobe ale odmítla, aby tuto funkci ve výchozím nastavení Acrobatu a Acrobat Readeru vypnula. Podle Arkina představuje podpora JavaScriptu důležitou funkci pro podnikové uživatele a Arkin namísto toho prohlásil, že se firma pokusí dodat do produktu analyzátor, který by javascriptový kód spustil jen v případě, že bude bezpečný.
Společnost F-Secure uvedla, že u cílených útoků pomocí e-mailu letos výrazně vzrostl podíl těch, které jako hlavní zbraň používají právě podvržený PDF soubor.
PŘEDPLATNÉ
ČLÁNKY DO MAILU