Adobe znów ma problem - luka "zero-day" w Acrobacie i Readerze

Jeśli chodzi o bezpieczeństwo, to 2009 zdecydowanie nie jest dobrym rokiem dla firmy Adobe (oraz użytkowników jej produktów) - przedstawiciele koncernu potwierdzili właśnie, że w zabezpieczeniach aplikacji Adobe Acrobat oraz Reader wykryto nowy, krytyczny błąd, który jest już wykorzystywany przez przestępców do atakowania użytkowników.

Wiadomo, że problem występuje m.in. w najnowszych, w pełni uaktualnionych wersjach aplikacji do tworzenie i odczytywania plików w popularnym formacie PDF. A skoro problem został wykryty zanim zdołał przygotować odpowiednie uaktualnienie dla swoich produktów, to mamy do czynienia z kolejnym błędem "zero-day" w produkcie tej firmy. To nie pierwszy w ostatnich miesiącach - podobną lukę koncern załatał kilka tygodni temu... i jeszcze kilka razy wcześniej w tym roku.

"Dotarły dziś do nas raporty o nieznanej wcześniej luce w Adobe Readerze i Acrobacie w wersjach 9.2 oraz wcześniejszych. Błąd ten jest już wykorzystywany do atakowania użytkowników. Nasi specjaliści aktualnie analizują problem i próbują ocenić, jak bardzo jest on poważny" - oświadczył David Lenoe, szef zespołu odpowiedzialnego za bezpieczeństwo produktów Adobe.

Co ciekawe, mimo iż przestępcy już wykorzystują ową lukę do atakowania internautów, to exploit na razie nie został opublikowany w żadnym popularnym serwisie poświęconym lukom w oprogramowaniu - nasi koledzy z amerykańskiego Computerworlda potwierdzili, że nie pojawił się on m.in. na Bugtraq, Full Disclosure czy Milw0rm.com.

Przedstawiciele Adobe tłumaczą, że koncern dowiedział się od problemie od jednego ze swoich kontrahentów - firmy zajmującej się bezpieczeństwem informatycznym. "Dostaliśmy tę informachę bezpośrednio od partnera - z tego co wiem, nasze oświadczenie [opublikowanego na firmowym blogu - red.] jest jedyną informacją na ten temat, opublikowaną w Sieci" - tłumaczy Wiebke Lips z Adobe.

Zarówno Lenoe jak i Lips zapowiedzieli już, że koncern opublikuje wkrótce więcej informacji na temat problemu - gdy tylko specjaliści z firmy zakończą analizowanie problemu. Warto dodać, że najnowsza wersja Acrobata i Readera pojawiła się zaledwie dwa miesiące temu (załatano w niej blisko 30 błędów związanych z bezpieczeństwem).

Jak już wspomnieliśmy, to nie jest dobry rok dla firmy Adobe - od kilkunastu miesięcy co kilka tygodni słyszymy o nowych, poważnych błędach w aplikacjach tej firmy. Poprawek dla jej produktów w tym roku pojawiło się już kilkadziesiąt - aż cztery z nich usuwały tzw. luki "zero-day". Tym mianem oznacza się najgroźniejsze błędy w oprogramowaniu - tzn. takie, które przestępcy zaczynają wykorzystywać do atakowania użytkowników zanim producent przygotuje odpowiednie uaktualnienie. Użytkownicy są wtedy bezbronni, bo zabezpieczenie się przed atakiem jest niezwykle trudne - jedyną rozsądną metodą wydaje się w takiej sytuacji zrezygnowanie z dziurawej aplikacji. Problem w tym, że i Acrobat to narzędzia popularne w firmach - a w firmach przesiadka na alternatywny program nie jest tak łatwa, jak w przypadku indywidualnego użytkownika.

Warto dodać, że przed siedmioma miesiącami Adobe zobowiązał się do udostępniania poprawek dla Readera i Acrobata w regularnych odstępach czasu - dokładnie co trzy miesiące. Jako, że ostatnie uaktualnienie pojawiło się w połowie października, to kolejnego należy spodziewać się w połowie stycznia - niestety, na razie nie wiadomo, czy firma przygotuje do tego momentu poprawkę usuwającą wykryty właśnie błąd w swoich aplikacjach.