Megapatch dla Readera - Adobe łata 23 luki

Koncern Adobe udostępnił właśnie aktualizację dla popularnego czytnika plików PDF Adobe Readera oraz Adobe Acrobata. Nowa poprawka jest gigantyczna - usuwa z aplikacji aż 23 różne błędy w zabezpieczeniach (w tym krytyczną lukę, która już od co najmniej miesiąca wykorzystywana jest do atakowania użytkowników).

To największa tegoroczna aktualizacja produktu Adobe - i jedna z największych w historii tej firmy (rekord ustanowiony został w październiku 2009, kiedy to opublikowano poprawkę usuwającą 29 błędów).

Przedstawiciele Adobe zapowiedzieli to uaktualnienie już kilkanaście dni temu - mało kto się jednak spodziewał, że do załatania jest tak dużo błędów. Wiadomo było, że firma musi usunąć lukę związaną z parsowaniem nagłówków plików, która już od września była wykorzystywana przez przestępców do atakowania użytkowników komputerów.

"Adobe wystawia swoich klientów na ciężką próbę - widać wyraźnie, że produkty tej firmy wciąż pozostają w obszarze zainteresowania internetowych przestępców. Ostatnio mamy do czynienia z prawdziwym wysypem dziur w jej oprogramowanie. Przecież niespełna tydzień temu Adobe łatał krytyczną lukę we Flashu" - komentuje Andrew Storms, dyrektor działu bezpieczeństwa firmy nCircle Security.

Warto dodać, że wspomniana przez Stormsa poprawka dla Flasha, jest także elementem najnowszej poprawki dla Readera (okazało się bowiem, że błąd znajduje się w komponencie wykorzystywanym w obu tych aplikacjach).

Najgroźniejszym z załatanych właśnie błędów wydaje się ten wykryty na początku września przez Milę Parkour, cenioną specjalistkę ds. bezpieczeństwa. Parkour wykryła lukę analizując exploita, wykorzystywanego przez przestępców do atakowania użytkowników. Okazała się ona bardzo niebezpieczna - ponieważ umożliwia uruchomienie złośliwego kodu nawet w systemie, w którym aktywne są mechanizmy zabezpieczające Address space layout randomization oraz Data execution prevention (ASLR i DEP).

Co ważne, aż 20 usuniętych luk (czyli 87%) stanowiły błędy, które mogły doprowadzić do nieautoryzowanego uruchomienia kodu (większość firm nazwałaby je "krytycznymi" - ale Adobe nie korzysta z powszechnie przyjętego w branży nazewnictwa). Dwa kolejne błędy pozwalały na wywołanie zawieszenia Adobe Readera, zaś trzecia - na tzw. eskalację przywilejów w systemie Linux.

9 z 23 błędów wykryli pracownicy Google (w tym aż 8 znany specjalista ds. bezpieczeństwa Tavis Ormandy), 3 kolejne zgłoszono w ramach projektu Zero Day Initiative.

Najnowszą wersję Adobe Reader (oraz Acrobata - ta aplikacja również została uaktualniona) dla systemów Windows, Mac oraz Linux pobrać można ze strony Adobe - odpowiednie odnośniki można znaleźć w komunikacie firmy.


Zobacz również