Kolejna dziura w Adobe Readerze zagraża użytkownikom

Przedstawiciele firmy Adobe oficjalnie potwierdzili, że w zabezpieczeniach aplikacji Adobe Reader oraz Acrobat wykryto kolejne krytyczne błędy. Problem jest poważny, bo poprawek na razie nie ma, a przestępcy już zaczęli wykorzystywać te luki do atakowania użytkowników Readera i Acrobata. Adobe obiecuje, że patch pojawi się dziś (wraz z kolejnym zestawem uaktualnień Microsoftu).

To zdecydowanie nie jest dobry rok dla Adobe - ujawniony właśnie błąd jest już czwartą w ciągu ostatnich dziesięciu miesięcy luką typu 0-day w produktach firmy (w ten sposób określa się "krytyczne" błędy w oprogramowaniu, które przestępcy zaczynają wykorzystywać zanim producent danej aplikacji przygotuje odpowiednią poprawkę). Nowa luka występuje zarówno w Readerze i Acrobacie dla Windows, jak i w wersji dla Mac OS X oraz Linuksa - ale na razie atakowani są jedynie użytkownicy systemu Microsoftu.

Przedstawiciele Adobe zastrzegają, że na razie liczba ataków jest dość niewielka - są one za to "wysoce wyspecjalizowane". Zwykle słowa takie oznaczają, że przestępcy atakują ściśle określoną grupę użytkowników - najczęściej pracowników kilku konkretnych firm. Typowy atak polega na wysłaniu do internauty odpowiednio zmodyfikowanego pliku PDF - skonstruowano go tak, by jego otwarcie w "dziurawej" aplikacji spowodowało zainstalowanie w systemie złośliwego kodu.

Z informacji udostępnionych przez firmę wynika, że na atak podatne są Reader i Acrobat 9.1.3 (oraz wcześniejsze wydania), w wersjach dla Windows, Mac OS X oraz Linuksa. Firma od kilku tygodni pracuje nad poprawką - na tym etapie powinna kończyć ostatnie testy uaktualnienia (Adobe zamierza udostępnić poprawki dziś). Firma niedawno wzięła przykład z Microsoftu i Oracle'a - i zaczęła publikować łatki dla swoich produktów w swoim cyklu (koncern z Redmond robi to co miesiąc, zaś Oracle i Adobe - raz na kwartał).

Warto wspomnieć, że firma wie o tym problemie z zabezpieczeniami Readera i Acrobata już co najmniej od kilku tygodni - pierwotnie zakładano, że poprawki pojawią się we wrześniu. Przed miesiącem wykryto jednak kilka kolejnych problemów z produktami firmy i podjęto decyzję o przesunięciu terminu udostępnienia uaktualnień na październik. Teraz z pewnością nie będzie żadnych opóźnień - w obliczu pierwszy ataków Adobe nie może sobie na to pozwolić.

Tymczasową metodą zabezpieczenia się przed atakami jest - w przypadku systemów Windows Vista oraz Windows 7 - uaktywnienie funkcji Data Execution Prevention (DEP - jej zadaniem jest blokowanie prób uruchomienia złośliwego kodu). Odpowiednie instrukcje można znaleźć na stronie Microsoftu. W przypadku Windows XP metoda jest inna - polega na wyłączeniu w Readerze i Acrobacie obsługi skryptów JavaScript. Takie rozwiązanie nie zabezpiecza co prawda przed wszystkimi atakami przeprowadzanymi za pośrednictwem nowego błędu, ale chroni użytkownika przed najpopularniejszymi exploitami wykorzystującymi tę lukę. Oczywiście, jest też uniwersalny sposób na zminimalizowanie zagrożenia - polega on na ignorowaniu wszelkich podejrzanych plików PDF.

Jak już wspomnieliśmy, jest to kolejna już luka 0-day w produkcie Adobe w ostatnim czasie. W marcu firma załatała podobny, krytyczny błąd - po prawie dwóch miesiącach od tego, jak wykryli i zaczęli wykorzystywać go przestępcy. Później sytuacja powtórzyła się jeszcze w maju i czerwcu.

Uaktualnienia dla Readera i Acrobata mają pojawić się na stronie firmy dziś. Warto dodać, że będą one zawierać poprawki dla co najmniej kilku dodatkowych luk w produktach Adobe - ale firma na razie nie udostępniła żadnych informacji na ten temat.


Zobacz również