Adobe i Oracle zamykają liczne dziury
Firma Adobe opublikowała aktualizacje 9.3.2 i 8.2.2 dla Adobe Readera (Windows, Mac i Unix) oraz Acrobata (Windows i Mac), eliminując 15 usterek bezpieczeństwa.
Również Oracle przygotował obszerny pakiet poprawek w ramach kwartalnego cyklu Critical Patch Update (CPU). Koncern zamknął łącznie 4. luk w wielu produktach.
Problemy
Dwanaście z usterek Readera na pewno umożliwia przemycenie i uruchomienie dowolnego kodu, a w przypadku trzech luk producent nie miał pewności co do stopnia zagrożenia, więc na razie sklasyfikował je jako luki typu Denial of Service.
Aby stać się ofiarą skutecznego ataku, nie trzeba nawet otwierać ręcznie dokumentu PDF, gdyż z reguły wystarczy odwiedzenie zmanipulowanej witryny przy użyciu przeglądarki wyposażonej w wadliwą wtyczkę Readera.
Jeśli chodzi o produkty Oracle'a, to do załatanych komponentów należą system bazodanowy, pakiety Business Suite, Sun Solaris i Java System Directory Server.
Rozwiązania
Instalacja poprawkowych wydań eliminuje opisywane problemy. Z uwagi na mnogość zamkniętych dziur użytkownicy powinni jak najszybciej zainstalować nowe wersje oprogramowania.
Adobe Reader
Dla wykrytej niedawno usterki "/launch" nie przygotowano jeszcze łaty. Producent zaleca wyłączenie w menu Edycja | Preferencje | Menedżer zaufania opcji Pozwól na otwieranie załączników w innym formacie niż PDF za pomocą aplikacji zewnętrznych.
Bezpośrednie pobranie wszystkich wydań Readera jest możliwe tutaj. Według informacji Adobe nowy program aktualizujący (Updater) potrafi teraz wykonywać to zadanie bez ingerencji użytkownika, ale w najnowszym raporcie o błędach producent zaleca ręczne uruchomienie procesu wyszukania uaktualnień. Niemniej jednak dopiero testy wykażą, czy nowy Updater faktycznie działa z opóźnieniem i czy przy każdym uruchomieniu sprawdza dostępność aktualizacji. W każdym razie w przeprowadzonym krótkim teście Adobe Readera z włączonym programem aktualizującym przez dłuższy czas nic się nie działo.
Produkty Oracle'a
Kilka usterek, jak choćby tę w oprogramowaniu Sun Ray Server, producent określa jako krytyczne, w związku z czym administratorzy nie powinni zwlekać z instalacją poprawek.
wydanie internetowe www.heise-online.pl