Trzy miesiące temu firma Adobe przyznała, że w zabezpieczeniach jednego z jej najpopularniejszych produktów - aplikacji Adobe Reader - znajduje się kilka poważnych błędów w zabezpieczeniach. Krótko potem firma udostępniła odpowiednie poprawki - jednak dopiero teraz podała szczegółowe informacje o lukach.
W opublikowanym wczoraj biuletynie przedstawiciele Adobe poinformowali, że w Adobe Readerze 8.1.2 i Adobe Acrobacie 8.1.2 załatano na początku lutego 8 różnych błędów w zabezpieczeniach, w większości krytycznych. Warto przypomnieć, że wtedy koncern informował ogólnie o usunięciu "kilku luk" - nie podano ile ich było i jak były poważne. Ta lakoniczność bardzo zdziwiła społeczność specjalistów ds. bezpieczeństwa - wcześniej Adobe zwykle nie ukrywała takich informacji.
Zdaniem Andrew Storms, szefa działu bezpieczeństwa firmy nCircle, ujawniono wczoraj informacje w pewnym sensie rozgrzeszają Adobe. _ "Ludzie z Adobie najwyraźniej uznali, że błędy są na tyle poważne, iż nie należy zbyt wcześniej ujawniać pełnych informacji na ich temat. Aż sześć z owych 8 luk związanych jest z JavaScript, więc nie trudno wyobrazić sobie wykorzystanie ich do atakowania użytkowników" _ - mówi Storms.
Specjalista przyznał jednak, że trzymiesięczny odstęp pomiędzy udostępnieniem poprawek a opublikowaniem informacji na temat luk to swoisty rekord - przypomniał też przy okazji, że o niektórych z załatanych błędów było wiadomo znacznie dłużej ( dwie z nich wykryto i zgłoszono do Adobe we wrześniu i październiku 2007 r. ).
Warto też wspomnieć, że w kilka dni po udostępnieniu przez Adobe poprawek ( czyli w połowie lutego ) przestępcy zaczęli korzystać z owych luk do atakowania użytkowników Readera. Zdaniem Storma, te ataki mogą wciąż trwać - specjalista przypomina, że aplikacja ta jest niezwykle popularna i z pewnością znaczna część jej użytkowników wciąż korzysta z starych, nieaktualizowanych od miesięcy, wersji.
Szczegółowe informacje o lutowych poprawkach Adobe znaleźć można na stronie firmy - http://www.adobe.com/support/security/bulletins/apsb08-13.html.
