Adobe přiznává další kritickou chybu v Acrobat Readeru

30. 4. 2009

Sdílet

V aplikacích společnosti Adobe pro zpracování PDF se objevila další kritická chyba. Adobe problém připustila a do vydání záplaty doporučuje zakázat JavaScript.

To je vlastně dobrá zpráva – zatímco předešlé zranitelnosti byly zneužitelné pomocí JacaScriptu, ale i jinak, tentokrát je problém zřejmě opravdu výhradně zde. Chybu objevila společnost SecurityFocus. Podle ní se téměř jistě týká nejnovějších verzí Readeru pro Windows (9.1 a 8.1.14) i Mac OS, nicméně primárně byla objevena v linuxových verzích. Útočník může zranitelnost zneužít ke spuštění libovolného kódu s oprávnění právě přihlášeného uživatele.

Společnost Adobe slíbila vydat záplatu v nejbližším možném termínu, zatím ovšem zkoumá, v čem zranitelnost přesně spočívá.

Andew Storms ze společnosti nCircle Network Security pro americký Computerworld vyjádřil přesvědčení, že se jedná víceméně o opakování podobné zranitelnosti, která produkty Adobe pro zpracování PDF postihla v únoru (Kritická chyba v Acrobat Readeru, oprava není). Storms uvedl, že Adobe by měla k zabezpečení přistupovat jinak a vzít si příklad z Microsoftu. V tomto případě byl totiž zveřejněn i mechanismus možného útoku (proof-of-concept), k čemuž v případě produktů Microsoftu obvykle nedochází. Adobe by proto měla nějak přimět výzkumníky, aby s informace o zranitelnostech nakládali zodpovědněji. Nicméně oproti únoru Adobe tentokrát zareagovala mnohem rychleji a taktéž záplatu slíbila v nejbližším množném termínu.

Bezpečnostní analytici se liší v názoru, zda je kvůli opakování těchto zranitelností vhodnou cestou přejít na jiné prohlížeče PDF. Ty také nejsou bez chyb (PDF je prokleté – zranitelný je i prohlížeč Foxit), navíc lze asi předpokládat, že v okamžiku, kdy by je používalo větší množství lidí, by se zintenzivnily i útoky proti těmto aplikacím.

 

Poznámka: V Acrobat Readeru pro Windows lze JavaScript vypnout volbou Edit-Preferences-JavaScript a zrušit zaškrtnutí políčka Enable Acrobat JavaScript (respektive v lokalizované podobě Úpravy-Předvolby-JavaScript-Povolit JavaScript Acrobatu). Pozor: ve výchozím nastavení Acrobat Readeru je JavaScript povolen a při přechodu na vyšší verzi se tato možnost opět automaticky zapne.

bitcoin_skoleni

Aktualizace: Bylo potvrzeno, že verze Acrobat Readeru pro MacOS a Windows jsou zranitelné stejně jako ta linuxová.

 

Autor článku