Adobe opisuje luki w Readerze

W opublikowanym wczoraj biuletynie przedstawiciele Adobe poinformowali, że w Adobe Readerze 8.1.2 i Adobe Acrobacie 8.1.2 załatano na początku lutego 8 różnych błędów w zabezpieczeniach, w większości krytycznych.

Warto przypomnieć, że wtedy koncern informował ogólnie o usunięciu "kilku luk" - nie podano ile ich było i jak były poważne. Ta lakoniczność bardzo zdziwiła społeczność specjalistów ds. bezpieczeństwa - wcześniej Adobe zwykle nie ukrywała takich informacji.

Zdaniem Andrew Storms, szefa działu bezpieczeństwa firmy nCircle, ujawniono wczoraj informacje w pewnym sensie rozgrzeszają Adobe. "Ludzie z Adobie najwyraźniej uznali, że błędy są na tyle poważne, iż nie należy zbyt wcześniej ujawniać pełnych informacji na ich temat. Aż sześć z owych 8 luk związanych jest z JavaScript, więc nie trudno wyobrazić sobie wykorzystanie ich do atakowania użytkowników" - mówi Storms.

Specjalista przyznał jednak, że trzymiesięczny odstęp pomiędzy udostępnieniem poprawek a opublikowaniem informacji na temat luk to swoisty rekord - przypomniał też przy okazji, że o niektórych z załatanych błędów było wiadomo znacznie dłużej (dwie z nich wykryto i zgłoszono do Adobe we wrześniu i październiku 2007 r.).

Warto też wspomnieć, że w kilka dni po udostępnieniu przez Adobe poprawek (czyli w połowie lutego) przestępcy zaczęli korzystać z owych luk do atakowania użytkowników Readera. Zdaniem Storma, te ataki mogą wciąż trwać - specjalista przypomina, że aplikacja ta jest niezwykle popularna i z pewnością znaczna część jej użytkowników wciąż korzysta z starych, nieaktualizowanych od miesięcy, wersji.

Szczegółowe informacje o lutowych poprawkach Adobe znaleźć można na stronie firmy.


Zobacz również