Firma Adobe opublikowała na swojej stronie internetowej wersje programu Adobe Reader, które są obarczone lukami w zabezpieczeniach. Usterki umożliwiają atakującemu zainfekowanie komputera użytkownika za pomocą odpowiednio spreparowanych dokumentów PDF
Problem został odkryty przez specjalizującą się w zabezpieczeniach firmę Secunia: użytkownicy oferowanego przez nią programu Personal Software Inspector zaczęli informować, że ten ostatni klasyfikuje pobrane i zainstalowane wersje Readera jako niebezpieczne.
Rzeczywiście, przy wywołaniu z komputera z systemem Windows strony get.adobe.com/reader pobrać z niej można przestarzałą wersję 9.1. zawierającą kilka luk w zabezpieczeniach. Nawet jeśli spróbujemy wybrać wersję ręcznie, otrzymujemy jedynie stare wydania programu. Z kolei jeśli wywołamy wspomnianą stronę na komputerze z systemem GNU/Linux, przedstawiona zostanie aktualna wersja 9.1.2, którą opublikowano już 9 czerwca.
Secunia informuje, że sam Reader jest w stanie pobrać odpowiednią poprawkę za pośrednictwem zintegrowanej funkcji aktualizacji, jednak nawet po jej zastosowaniu w określonych wypadkach może być już za późno. Producent nie udzielił oficjalnej odpowiedzi na zapytanie ze strony heise Security. Użytkownicy Windows powinni tak czy inaczej wykonać aktualizację ręcznie bezpośrednio w samym programie.
Z uwagi na problemy z zabezpieczeniami w swoich produktach Adobe całkiem niedawno wdrożyło program, w ramach którego nowe wersje Readera i Acrobata powinny ukazywać się w regularnych cyklach łatania. Co kwartał, w każdy drugi wtorek miesiąca, mają ukazywać się aktualizacje bezpieczeństwa – równolegle do poprawek publikowanych przez Microsoft. W ciągu trzymiesięcznego okresu między publikacjami poprawek programiści chcą badać kod pod kątem występowania w nim luk i zamykać je dzięki wykorzystaniu nowego procesu Secure Product Lifecycle (SPLC). Do tej pory producent publikował poprawki bezpieczeństwa jedynie po ujawnieniu luk w którymś z programów. Trzeba jednak zaznaczyć, że nowy cykl publikowania poprawek niewiele da, jeśli firma nadal będzie proponować do pobrania niezałatane wersje.
wydanie internetowe www.heise-online.pl
