Adobe: łata dla Illustratora dopiero w styczniu

Przed kilkoma dniami anonimowy haker opublikował w Sieci exploita, umożliwiającego zaatakowanie komputera z Windows przez nieznaną wcześniej lukę w zabezpieczeniach oprogramowania Illustrator Creative Suite firmy Adobe. Koncern właśnie potwierdził, że taki problem istnieje i obiecał poprawkę.

Niestety, owo uaktualnienie pojawi się dopiero 8 stycznia przyszłego roku - wygląda bowiem na to, że Adobe zamierza ściśle trzymać się swojego stałego cyklu publikowania poprawek. Firma od kilku miesięcy wzoruje się na Microsofcie i udostępnia łatki dla swoich produktów raz w miesięcu (zwykle w drugi wtorek lub środę). A że wiadomość o nowym problemie z Illustratorem pojawiła się dopiero przed kilkoma dniami, to specjaliści z Adobe nie zdążyli przygotować poprawki na dziś (bo właśnie dziś ma zostać udostępniony pakiet łat - m.in. dla Flash Playera) - dlatego też użytkownicy będą musieli poczekać do stycznia. Warto dodać, że Microsoft w szczególnych przypadkach publikuje łatki dla szczególnie niebezpiecznych luk poza swoim cyklem - ale przedstawiciele Adobe na razie nie zdecydowali się taki krok.

Luka w Illustrator Creative Suite pozwala na nieautoryzowane uruchomienie w systemie złośliwego kodu i występuje w wersjach 3 oraz 4 tego oprogramowania. Na razie nie odnotowano żadnych ataków przeprowadzonych z wykorzystaniem tego błędu - ale specjaliści spodziewają, że taki atak będzie polegał na wysłaniu do użytkownika specjalnie zmodyfikowanego pliku Encapsulated PostScript (.eps). Otworzenie go w Illustratorze spowoduje uruchomienie w systemie złośliwego kodu. Dlatego też przedstawiciele Adobe zdecydowanie zalecają użytkownikom zachowanie ostrożności: "Uważamy ten problem za krytyczny i rekomendujemy klientom, by do czasu pojawienia się odpowiedniej poprawki unikali otwierania plików .eps nadesłanych przez nieznanych użytkowników".

Dodajmy, że ujawniony właśnie błąd jest już piątą w ciągu ostatnich dziesięciu miesięcy luką typu 0-day w produktach Adobe (w ten sposób określa się "krytyczne" błędy w oprogramowaniu, które przestępcy zaczynają wykorzystywać zanim producent danej aplikacji przygotuje odpowiednią poprawkę).

Warto wspomnieć, że dziś mają pojawi się zarówno najnowsze poprawki Adobe, jak i uaktualnienia dla produktów Microsoftu (koncern z Redmond zamierza załatać w sumie 12 błędów - w tym ujawnioną niedawną krytyczną lukę w przeglądarce Internet Explorer).