Dvojice výzkumníků ze společnosti Google obvinila společnost Adobe z pomalého zavádění oprav známých chyb a rozhodla se publikovat podrobnosti o bezpečnostních chybách v aplikaci Adobe Reader. Doporučila rovněž uživatelům přejít na jiný software, dokud nebudou tyto chyby opraveny.
Googlers Mateusz Jurczyk a Gynvael Coldwind oznámili, že letos v červnu upozornili Adobe celkem na 46 reprodukovatelných způsobů vyvolání pádu aplikace Adobe Reader. Tento týden vydala společnost aktualizace svého softwaru pro systémy Windows a OS X, které ovšem obsahují opravy pouze 25 z oněch 46 hlášených kritických problémů. Verze pro Linux se dokonce ani aktualizace nedočkala. Dvojice výzkumníků podle zásad svého zaměstnavatele pro ohlašování chyb v aplikacích zveřejnila některé podrobnosti o neopravených chybách.
Podle zásad Googlu dostávají výrobci softwaru lhůtu 60 dní na opravu nahlášených chyb, než dojde k jejich zveřejnění. Podle Jurczyka s Coldwindem plánuje Adobe opravit zbývající nahlášené chyby ve verzi pro Windows a OS X a také všechny chyby ve verzi pro Linux v rámci následující aktualizace, její uvedení je však podle odborníku Googlu příliš vzdálené. „Adobe potvrdilo, že další aktualizace určitě nestihne do 27. srpna, kdy uplyne 60 dní od odhalení a nahlášení chyb,“ napsali ve svém blogovém příspěvku.
Ve stejném příspěvku se dále můžeme dočíst: „I když nemáme žádný důkaz, že by tyto chyby nyní někdo zneužíval, obáváme se, že zneužít tyto chyby nebude pro úročníky příliš složité. Budou mít totiž k dispozici nově opravené verze pro Windows a OS X, které mohou porovnat s neopravenou verzí pro Linux a zjistit tak, k jakým změnám v aplikaci došlo. Z toho důvodu jsme dospěli k závěru, že je v zájmu uživatelů, abychom je na tyto hrozby upozornili co možná nejdříve.“
Jurczyk s Coldwindem doporučili uživatelům verze pro Linux, aby odebrali moduly Annots.api a PPKLite.api, které v současnosti podle jejich informací obsahují zneužitelné chyby. Zbývající části aplikace podle jejich názoru žádné riziko nepředstavují a je možno je používat i bez posledních oprav. Pro jistotu však všem uživatelům doporučují omezit používání aplikace Adobe Reader včetně modulů zabudovaných přímo do webových prohlížečů.
Uživatelům systému Windows doporučili přechod z verze 9 na verzi X, „která poskytuje funkci sandboxu a v ní tedy mnohem obtížnější (i když nikoli nemožné) možnost tyto slabiny zneužít. FUnkce snadboxu bohužel není k dispozici v nejnovějších verzích aplikace Adobe Reader pro OS X a Linux.“
Výzkumníci zveřejnili neopravené chyby v Adobe Readeru
17. 8. 2012
Bezpečnostní výzkumníci společnosti Google tvrdí, že společnost Adobe příliš dlouho otálí s opravou 46 nahlášených chyb, a doporučují přejít na jiný prohlížeč formátu PDF.
Školení pro IT
PŘEDPLATNÉ
ČLÁNKY DO MAILU