Dziurawe wersje Adobe Readera

Dziurawe wersje Adobe Readera
Źródło zdjęć: © adobe

22.07.2009 15:26, aktual.: 22.07.2009 16:14

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Firma Adobe opublikowała na swojej stronie internetowej wersje programu Adobe Reader, które są obarczone lukami w zabezpieczeniach. Usterki umożliwiają atakującemu zainfekowanie komputera użytkownika za pomocą odpowiednio spreparowanych dokumentów PDF

Problem został odkryty przez specjalizującą się w zabezpieczeniach firmę Secunia: użytkownicy oferowanego przez nią programu Personal Software Inspector zaczęli informować, że ten ostatni klasyfikuje pobrane i zainstalowane wersje Readera jako niebezpieczne.

Obraz
© (fot. adobe)

Rzeczywiście, przy wywołaniu z komputera z systemem Windows strony get.adobe.com/reader pobrać z niej można przestarzałą wersję 9.1. zawierającą kilka luk w zabezpieczeniach. Nawet jeśli spróbujemy wybrać wersję ręcznie, otrzymujemy jedynie stare wydania programu. Z kolei jeśli wywołamy wspomnianą stronę na komputerze z systemem GNU/Linux, przedstawiona zostanie aktualna wersja 9.1.2, którą opublikowano już 9 czerwca.

Secunia informuje, że sam Reader jest w stanie pobrać odpowiednią poprawkę za pośrednictwem zintegrowanej funkcji aktualizacji, jednak nawet po jej zastosowaniu w określonych wypadkach może być już za późno. Producent nie udzielił oficjalnej odpowiedzi na zapytanie ze strony heise Security. Użytkownicy Windows powinni tak czy inaczej wykonać aktualizację ręcznie bezpośrednio w samym programie.

Z uwagi na problemy z zabezpieczeniami w swoich produktach Adobe całkiem niedawno wdrożyło program, w ramach którego nowe wersje Readera i Acrobata powinny ukazywać się w regularnych cyklach łatania. Co kwartał, w każdy drugi wtorek miesiąca, mają ukazywać się aktualizacje bezpieczeństwa – równolegle do poprawek publikowanych przez Microsoft. W ciągu trzymiesięcznego okresu między publikacjami poprawek programiści chcą badać kod pod kątem występowania w nim luk i zamykać je dzięki wykorzystaniu nowego procesu Secure Product Lifecycle (SPLC). Do tej pory producent publikował poprawki bezpieczeństwa jedynie po ujawnieniu luk w którymś z programów. Trzeba jednak zaznaczyć, że nowy cykl publikowania poprawek niewiele da, jeśli firma nadal będzie proponować do pobrania niezałatane wersje.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (1)