Adobe: dziur w Readerze i Acrobacie było więcej

Przedstawiciele koncernu Adobe Systems ujawnili, że udostępnione niedawno uaktualnienie dla aplikacji Adobe Reader oraz Acrobat usuwało z nich znacznie więcej krytycznych błędów, niż początkowo ujawniono.

Gdy 10 marca opublikowane zostały wydania 9.1 obu aplikacji, firma Adobe informowała, że załatano w nich jeden poważny błąd w zabezpieczeniach, który już od pewnego czasu wykorzystywany był do atakowania użytkowników. Teraz okazało się, że luk było tak naprawdę aż sześć - i wszystkie miały status błędów krytycznych (co oznacza, że mogą zostać wykorzystane do zaatakowania systemu bez żadnego działania ze strony użytkownika).

Cztery z owych błędów związane były z obsługą grafik zapisanych w skompresowanym formacie JBIG2 - warto dodać, ze to ów jedyny ujawniony na początku marca błąd też znajdował się w komponencie oprogramowania odpowiedzialnym za przetwarzanie tego formatu.

"Musieliśmy zadać sobie pytanie: czy opublikowanie od razu informacji o wszystkich lukach pomoże użytkownikom? Odpowiedź brzmiała nie. Chodzi o to, że 10 marca udostępniliśmy jedynie poprawki dla wersji 9.x dla systemów Windows i Mac OS X. Nie mieliśmy jeszcze dostępnych patchy dla Readera i Acrobata z wciąż obsługiwanej linii 8.x oraz 7.x, a także dla wydań dla Uniksa" - tłumaczy Brad Arkin, pełniący w Adobe funkcje szefa ds. bezpieczeństwa. Warto dodać, że te zaległe poprawki pojawiły się dopiero wczoraj - wtedy też oficjalnie poinformowano o wszystkich lukach.

"Chcieliśmy usunąć te błędy jak najszybciej - ale zależało nam też na tym, by w sytuacji, gdy przestępcy wykorzystują już jedną znaną lukę w JBIG maksymalnie odwlec moment upublicznienia pozostałych błędów. Dzięki temu ogromna większość użytkowników naszych programów miała dość czasu by pobrać i zainstalować uaktualnione wersje" - mówi Arkin. Przedstawiciel Adobe dodaje, że do tej pory atakowane były jedynie wydania dla Windows i Mac OS X - czyli te, które zostały załatane już ponad dwa tygodnie temu).

Cztery dodatkowe błędy związane z JBIG2 zostały wykryte przez specjalistów z Symanteka - zgłosili je oni do Adobe gdy firma rozpoczynała prace nad poprawkę usuwającą błąd wykorzystywany od stycznia. Dzięki temu programiści Adobe mogli usunąć wszystkie luki jedną poprawką. Ten pierwszy błąd wykryli z kolei eksperci z iDefense Labs (którzy już pod koniec lutego poinformowali o nim Adobe).

Ostatni ujawniony właśnie błąd nie jest związany z JBIG - luka jest co prawda krytyczna, ale jest występowanie jest dość ograniczone, więc nie został uznany za znaczące zagrożenie.

Zdaniem Andrew Stormsa, cenionego specjalisty ds. bezpieczeństwa z firmy nCircle Network Security, strategia Adobe (czyli opóźnienie opublikowania informacji o nowych lukach) generalnie była słuszna, jednak firma wprowadziła trochę niepotrzebnego zamieszania. $"Takie postępowanie jest dość sensowne - szczególnie, jeśli musisz udostępniać stopniowo poprawki do kilku różnych wersji swojego produktu w pewnym odstępach czasowych. Nie ma sensu narażać bezpieczeństwa użytkowników. Ale wrażenie psuje nieco fakt, że nawet teraz firma nie jest do końca szczera i próbowała ukryć informacje o nowych błędach - proszę zwrócić uwagę, że o lukach nie ma mowy w informacji prasowej o nowych wersjach. Aby je znaleźć, trzeba nieco pogrzebać w dokumentacji" - mówi Storms.

Więcej informacji (w tym odnośniki do uaktualnionych wersji aplikacji Adobe) znaleźć można na stronie producenta.


Zobacz również