Produkty Adobe: w miejsce łatanych luk wciąż pojawiają się nowe

Użytkownicy produktów Adobe zaczynają powoli tracić orientację, które wersje i w jakim stopniu są dziurawe. Firma potwierdziła obecność kolejnej niezałatanej luki w Adobe Readerze, którą najprawdopodobniej daje się wykorzystać do zainfekowania komputera

Obraz
Źródło zdjęć: © via heise-online

Problemy

Jak ustalono, za usterkę sklasyfikowaną jako krytyczna odpowiada wadliwa funkcja JavaScriptu Doc.printSeps(). Nowa luka występuje w Adobe Readerze od edycji 9.2. względnie 8.1 dla systemów Windows, Unix i Mac OS X. Według informacji producenta tym razem Adobe Acrobat nie jest podatny na zagrożenia.

Tymczasem dla Flash Playera producent już dziś (5 października) opublikował zapowiedziane wcześniej poprawki. Pierwotnie zaplanowano je dopiero na 9 listopada. Aktualizacja zamyka 1. luk bezpieczeństwa, między innymi tę zgłoszoną w ubiegłym tygodniu.

Zagrożenie

Pojawił się już odpowiedni exploit wykorzystujący usterkę w Adobe Readerze, ale powoduje on tylko zawieszenie pracy aplikacji.

Rozwiązanie

Instalacja nowych wydań eliminuje wspomniane problemy. Bynajmniej nie oznacza to, że Acrobat jest bezpieczny, ponieważ nadal nie przygotowano łaty dla luki w bibliotece authplay.dll odtwarzacza Flash Player, co zresztą dotyczy także Readera. Wprawdzie Adobe zapowiedział uaktualnienie Readera i Acrobata po 1. listopada, ale na razie nie wiadomo, czy również nowy problem zostanie wówczas rozwiązany, a może nastąpi przesunięcie tego terminu.

Pakiet Flash Player 10.1.102.6. dla Windows, GNU/Linuksa i Mac OS-a X można już pobrać. Poprawkowa wersja dla Androida ma się ukazać dopiero w przyszłym tygodniu.

Ochrona

W wydanym ostrzeżeniu Adobe podaje też wskazówki, jak w poszczególnych systemach operacyjnych uniemożliwić za pośrednictwem czarnej listy JavaScriptu wywoływanie newralgicznych funkcji tego języka. Niestety, instruktaż nie mówi, czy i ewentualnie jakie konsekwencje będzie to miało dla dalszego działania aplikacji.

Problemy powiązane

Tymczasem specjalizująca się w sprawach bezpieczeństwa firma Secunia zgłosiła nowy problem dotyczący właśnie uaktualnionego Shockwave Playera. Otóż podczas otwierania ustawień odtwarzacza w pewnych okolicznościach niemożliwy jest dostęp do jednej z wyładowanych bibliotek, co da się wykorzystać do przemycenia i uruchomienia kodu przez zmanipulowaną stronę WWW.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Załamanie lodowców Antarktydy może podnieść poziom mórz o trzy metry
Załamanie lodowców Antarktydy może podnieść poziom mórz o trzy metry
Podwodna ofensywa Korei Południowej: oferta okrętów dla Azji oraz obu Ameryk
Podwodna ofensywa Korei Południowej: oferta okrętów dla Azji oraz obu Ameryk
Rosyjska gra o inwazji na Ukrainę to totalna klapa. Nikt w to nie gra
Rosyjska gra o inwazji na Ukrainę to totalna klapa. Nikt w to nie gra
COP30 w Amazonii bez USA. Tematami: lasy deszczowe i prawa rdzennych ludów
COP30 w Amazonii bez USA. Tematami: lasy deszczowe i prawa rdzennych ludów
Obiecano im pracę w hotelu. Afrykanki zwabione przez Rosję
Obiecano im pracę w hotelu. Afrykanki zwabione przez Rosję
Ukraińcy nie musieli go atakować. Rosyjski Ka-226 rozbił się w Rosji
Ukraińcy nie musieli go atakować. Rosyjski Ka-226 rozbił się w Rosji
Rosja promuje Su-57. Nikt nie chce "najlepszego samolotu świata"
Rosja promuje Su-57. Nikt nie chce "najlepszego samolotu świata"
Rosjanie zrobili to celowo. Zaatakowali konwój humanitarny
Rosjanie zrobili to celowo. Zaatakowali konwój humanitarny
Problemy z rosyjskimi czołgami. Sami Rosjanie narzekają na ich jakość
Problemy z rosyjskimi czołgami. Sami Rosjanie narzekają na ich jakość
Budowa gazociągu Gdańsk-Gustorzyn na półmetku. To ważna inwestycja
Budowa gazociągu Gdańsk-Gustorzyn na półmetku. To ważna inwestycja
Odparowuje wszystko co żywe. Rosjanie zaczęli demontować potężną broń
Odparowuje wszystko co żywe. Rosjanie zaczęli demontować potężną broń
Najstarsze powietrze w historii. Było uwięzione w 6-milionowym lodzie
Najstarsze powietrze w historii. Było uwięzione w 6-milionowym lodzie