Produkty Adobe: w miejsce łatanych luk wciąż pojawiają się nowe

Produkty Adobe: w miejsce łatanych luk wciąż pojawiają się nowe05.11.2010 16:36
Produkty Adobe: w miejsce łatanych luk wciąż pojawiają się nowe
Źródło zdjęć: © via heise-online

Użytkownicy produktów Adobe zaczynają powoli tracić orientację, które wersje i w jakim stopniu są dziurawe. Firma potwierdziła obecność kolejnej niezałatanej luki w Adobe Readerze, którą najprawdopodobniej daje się wykorzystać do zainfekowania komputera

Problemy

Jak ustalono, za usterkę sklasyfikowaną jako krytyczna odpowiada wadliwa funkcja JavaScriptu Doc.printSeps(). Nowa luka występuje w Adobe Readerze od edycji 9.2. względnie 8.1 dla systemów Windows, Unix i Mac OS X. Według informacji producenta tym razem Adobe Acrobat nie jest podatny na zagrożenia.

Tymczasem dla Flash Playera producent już dziś (5 października) opublikował zapowiedziane wcześniej poprawki. Pierwotnie zaplanowano je dopiero na 9 listopada. Aktualizacja zamyka 1. luk bezpieczeństwa, między innymi tę zgłoszoną w ubiegłym tygodniu.

Zagrożenie

Pojawił się już odpowiedni exploit wykorzystujący usterkę w Adobe Readerze, ale powoduje on tylko zawieszenie pracy aplikacji.

Rozwiązanie

Instalacja nowych wydań eliminuje wspomniane problemy. Bynajmniej nie oznacza to, że Acrobat jest bezpieczny, ponieważ nadal nie przygotowano łaty dla luki w bibliotece authplay.dll odtwarzacza Flash Player, co zresztą dotyczy także Readera. Wprawdzie Adobe zapowiedział uaktualnienie Readera i Acrobata po 1. listopada, ale na razie nie wiadomo, czy również nowy problem zostanie wówczas rozwiązany, a może nastąpi przesunięcie tego terminu.

Pakiet Flash Player 10.1.102.6. dla Windows, GNU/Linuksa i Mac OS-a X można już pobrać. Poprawkowa wersja dla Androida ma się ukazać dopiero w przyszłym tygodniu.

Ochrona

W wydanym ostrzeżeniu Adobe podaje też wskazówki, jak w poszczególnych systemach operacyjnych uniemożliwić za pośrednictwem czarnej listy JavaScriptu wywoływanie newralgicznych funkcji tego języka. Niestety, instruktaż nie mówi, czy i ewentualnie jakie konsekwencje będzie to miało dla dalszego działania aplikacji.

Problemy powiązane

Tymczasem specjalizująca się w sprawach bezpieczeństwa firma Secunia zgłosiła nowy problem dotyczący właśnie uaktualnionego Shockwave Playera. Otóż podczas otwierania ustawień odtwarzacza w pewnych okolicznościach niemożliwy jest dostęp do jednej z wyładowanych bibliotek, co da się wykorzystać do przemycenia i uruchomienia kodu przez zmanipulowaną stronę WWW.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (1)