Dziurawe wersje Adobe Readera

Problem został odkryty przez specjalizującą się w zabezpieczeniach firmę Secunia: użytkownicy oferowanego przez nią programu Personal Software Inspector zaczęli informować, że ten ostatni klasyfikuje pobrane i zainstalowane wersje Readera jako niebezpieczne.

Rzeczywiście, przy wywołaniu z komputera z systemem Windows strony get.adobe.com/reader pobrać z niej można przestarzałą wersję 9.1. zawierającą kilka luk w zabezpieczeniach. Nawet jeśli spróbujemy wybrać wersję ręcznie, otrzymujemy jedynie stare wydania programu. Z kolei jeśli wywołamy wspomnianą stronę na komputerze z systemem GNU/Linux, przedstawiona zostanie aktualna wersja 9.1.2, którą opublikowano już 9 czerwca.

Secunia informuje, że sam Reader jest w stanie pobrać odpowiednią poprawkę za pośrednictwem zintegrowanej funkcji aktualizacji, jednak nawet po jej zastosowaniu w określonych wypadkach może być już za późno. Producent nie udzielił oficjalnej odpowiedzi na zapytanie ze strony heise Security. Użytkownicy Windows powinni tak czy inaczej wykonać aktualizację ręcznie bezpośrednio w samym programie.

Z uwagi na problemy z zabezpieczeniami w swoich produktach Adobe całkiem niedawno wdrożyło program, w ramach którego nowe wersje Readera i Acrobata powinny ukazywać się w regularnych cyklach łatania. Co kwartał, w każdy drugi wtorek miesiąca, mają ukazywać się aktualizacje bezpieczeństwa – równolegle do poprawek publikowanych przez Microsoft. W ciągu trzymiesięcznego okresu między publikacjami poprawek programiści chcą badać kod pod kątem występowania w nim luk i zamykać je dzięki wykorzystaniu nowego procesu Secure Product Lifecycle (SPLC). Do tej pory producent publikował poprawki bezpieczeństwa jedynie po ujawnieniu luk w którymś z programów. Trzeba jednak zaznaczyć, że nowy cykl publikowania poprawek niewiele da, jeśli firma nadal będzie proponować do pobrania niezałatane wersje.

wydanie internetowe www.heise-online.pl