Epidemia luk JavaScript w produktach Adobe?

Koncern Adobe Systems załatał właśnie programy Reader oraz Acrobat - usunięto z nich niebezpieczne błędy związane ze skryptami JavaScript. Zdaniem niektórych specjalistów, firma ma ostatnio stanowczo zbyt dużo problemów z takimi lukami - Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security, nazwał to zjawisko prawdziwą "epidemią dziur".

W obu załatanych właśnie aplikacjach usunięto ten sam błąd związany z obsługą JavaScript - w obu przypadkach problem uznano za krytyczny (oznacza to, że luka może zostać wykorzystana do zaatakowania systemu bez żadnego działania ze strony użytkownika). Adobe udostępniła poprawki zarówno dla windowsowej, jak i makowej wersji Readera i Acrobata - firma zaleca użytkownikom jak najszybsze ich zainstalowanie, ponieważ błędy te są już wykorzystywane do atakowania użytkowników.

"W Adobre Readerze i Acrobacie 8.1.2 (a także wcześniejszych wydaniach) wykryto krytyczny błąd. Luka ta może spowodować zawieszenie się aplikacji, a w pewnych okolicznościach pozwala także atakującemu na przejęcie pełnej kontroli nad systemem" - tłumaczą przedstawiciele Adobe. Koncern poinformował też, że problem dotyczy modułu odpowiedzialnego za autoryzowanie wprowadzanych danych i związany jest ze skryptami JavaScript.

Warto przypomnieć, że jest to kolejna w ostatnim czasie podobna luka związana z JavaScript w produktach Adobe - podobne błędy usunięto w Acrobacie i Readerze kilkanaście tygodni temu, wraz z udostępnieniem wydania 8.1.2. Firma załatała wtedy ok. 30 różnych luk - ku zaskoczeniu specjalistów ds. bezpieczeństwa (oraz wcześniejszej praktyce Adobe) nie ujawniono wtedy żadnych informacji na temat problemów. Szerzej pisaliśmy o tym w tekście "Nowa wersja Adobe Readera".

"Adobe najwyraźniej ma problem z epidemią luk związanych z JavaScript - gdy w krótkim czasie ujawnionych zostaje aż tyle podobnych problemów, ludzie zaczynają zadawać sobie różne pytania. Na przykład: po co w ogóle w tak rozbudowanym programie jak Adobe Acrobat korzystać ze skryptów JavaScript, szczególnie, jeśli od dawna wiadomo, że przestępcy wykorzystują luki w tej technologii do atakowania użytkowników? I dlaczego Adobe wciąż nie poradził sobie ze wszystkimi takimi błędami, skoro od miesięcy wiadomo, że są one celem kryminalistów?" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.

Z informacji udostępnionych przez Adobe wynika, że załatania wymagają zarówno najnowsze wersje aplikacji Reader (darmowy czytnik PDF) oraz Acrobat (płatny program do tworzenia publikacji elektronicznych) - czyli 8.1.2, jak i wcześniejsze wydania - 8.0 oraz 7.1.0. Najnowsze wersje - czyli dostępne na razie w wydaniach testowych Reader 9 i Acrobat 9 - nie są podatne na atak i nie wymagają uaktualniania.

Więcej informacji o problemie oraz pliki do pobrania znaleźć można na stronie firmy Adobe.


Zobacz również