Adobe: zaraz załatamy tę dziurę

Firma Adobe Systems zapowiedziała, że najpóźniej w przyszłym tygodniu udostępni uaktualnienia usuwające wykryte niedawno luki w zabezpieczeniach aplikacji Adobe Acrobat oraz Adobe Reader. Na razie firma zaleca użytkownikom wyłączenie w obu programach obsługi skryptów JavaScript.

"Poprawki usuwające wszystkie wykryte właśnie błędy są już tworzone przez naszych specjalistów. Uaktualnienia dla wszystkich wersji (oraz platform) Adobe Readera i Acrobata zostaną udostępnione do 12 maja 2009" - napisał w oficjalnym blogu Adobe David Lenoe, zatrudniony w firmie na stanowisku security program manager.

Wiadomo już, że uaktualnienie będzie przeznaczone dla wersji 7.x, 8.x oraz 9.x Readera i Acrobata dla Windows, wersji 8.x i 9.x Readera i Acrobata dla Mac OS X, a także dla wydań 8.x i 9.x dla Uniksa. Poprawka będzie usuwać lukę opisaną w biuletynie CVE-2009-1492 - jest to poważny błąd w zabezpieczeniach związany z implementacją obsługi skryptów JavaScript w sztandarowych produktach Adobe. Luka ta pozwala przestępcom np. na stworzenie "złośliwego" pliku PDF, którego otwarcie w systemie spowoduje uruchomienie nieautoryzowanego, niebezpiecznego kodu (i w konsekwencji - przejęcie pełnej kontroli nad OS-em przez przestępcę).

Sprawa jest o tyle poważna, że już od tygodnia w Sieci dostępny jest prototypowy kod, demonstrujący sposób wykorzystania luki do ataku na system. Kod ów jest dziełem specjalistów ds. bezpieczeństwa z firmy SecurityFocus (oczywiście, jest nieszkodliwy - jego zadaniem jest udowodnienie, że luka występuje). Ale tylko kwestią czasu wydaje się powstanie skutecznego exploita - cyberprzestępcy z pewnością już nad nim pracują.

Warto dodać, że analizy problemu przeprowadzone przez Adobe zaowocowały wykryciem dodatkowej, nieznanej wcześniej luki. Jej zasięg jest znacznie mniejszy - błąd (opisany w biuletynie CVE-2009-1493) występuje jedynie w Readerze dla Uniksa. On również zostanie załatany do 12 marca (prawdopodobnie tego samego dnia, co luka omówiona powyżej).

Do czasu opublikowania poprawki Adobe zaleca użytkownikom swoich produktów wyłączenie w Acrobacie i Readerze obsługi skrytpów JavaScript (można to zrobić w menu Edit -> Preferences -> JavaScript - należy odznaczyć pole "Enable JavaScript"). Jest to skuteczny sposób zabezpieczenia się przed atakiem z wykorzystaniem nowej luki.

Nie jest to pierwszy poważny błąd związany z JavaScript, jaki w ostatnim czasie wykryto w produktach Adobe - firma najwyraźniej nie ma do nich szczęścia. Sytuację dodatkowo pogarsza fakt, iż są to luki wyjątkowo cenne dla przestępców - ponieważ występują w aplikacjach obsługujących bardzo popularny typ plików (PDF) i pozwalają na przeprowadzenie w pełni zautomatyzowanego ataku na komputer.


Zobacz również