Krytyczna luka w Adobe Readerze – nikogo to nie interesuje

Są rzeczy, które stały się już tak powszechne, że prawie nikt nie zwraca na nie uwagi. Takie wrażenie odniósł z pewnością także specjalista od bezpieczeństwa Charlie Miller, który w wystąpieniu na konferencji Black Hat przed tygodniem zwrócił uwagę na wielką dziurę w zabezpieczeniach Adobe Readera. Po wykładzie Miller stwierdził: "Z bezpieczeństwem w Adobe jest już tak kiepsko, że […] nikt nawet nie wspomniał o tym na Twitterze. Smutne".

Tymczasem koncern Adobe potwierdził już istnienie luki. Dotyczy ona najnowszej wersji Readera dla Windows, Mac OS-a X i Uniksów. Usterka może być wykorzystana do przemycenia i wykonania dowolnego kodu. Na razie nie wiadomo, czy dotknięte są nią także starsze wersje.

Producent pracuje już nad łatą i sprawdza, czy ujawnione przez Millera informacje o luce uzasadniają pozaplanową aktualizację, czy też błąd zostanie usunięty dopiero podczas najbliższego dnia łatek. Na razie nie ma sygnałów, że luka jest czynnie wykorzystywana. W rozmowie z heise Security Brad Arkin, który w Adobe odpowiada za bezpieczeństwo produktów i ochronę danych, w maju mówił, że zastanawia się, czy nie należałoby skrócić trzymiesięcznego cyklu aktualizacji dla Adobe Readera i Acrobata do 3. dni. Firma jest zainteresowana dystrybucją aktualizacji także za pośrednictwem innych kanałów, takich jak aktualizacje Microsoftu.

Inna luka w przetwarzaniu dokumentów PDF od niedawna powoduje, że użytkownicy iPhone'ów, iPodów touch i iPadów za pomocą spreparowanego pliku PDF mogą się uwolnić od powiązania z App Store (jailbreak), otwierając bezpośrednio na telefonie stronę JailbreakMe.com. Jednak według F-Secure usterka nie dotyczy Adobe Readera. Z kolei czytnik Foxit Reader przy próbie jej wykorzystania ulega wyłączeniu.

wydanie internetowe www.heise-online.pl