Stare wersje, stare dziury

W wielu organizacjach nadal wykorzystuje się starsze wersje oprogramowania, mimo tego, że aktualizacje niektórych produktów są dostępne bezpłatnie. Jest to bardzo poważna luka w bezpieczeństwie, którą niezwłocznie należy usunąć.

Dzisiejsze systemy operacyjne są znacznie bezpieczniejsze niż ich dawniejsze wydania. Wzrosła też świadomość zagrożenia naruszeń bezpieczeństwa (widoczna choćby w powszechnym wykorzystywaniu oprogramowania antywirusowego oraz zapory sieciowej). Dlatego cyberprzestępcy przenieśli swoje ataki, kierując je przeciw popularnym aplikacjom. Jedną z takich aplikacji jest Adobe Reader (dawniej Acrobat Reader) oraz Adobe Flash Player (dawniej produkt firmy Macromedia). Obie aplikacje mają kilka wspólnych cech - popularność, wieloplatformowość formatu i aplikacji, jednego dostawcę oraz (do niedawna) problemy z aktualizacją. Obecnie firma Adobe zaczęła poważnie traktować doniesienia o lukach w swoich produktach i dostarcza aktualizacje. W wielu firmach nadal jednak pracują bardzo stare wersje tych programów.

Przyczyną, dla której wielu administratorów nie kwapi się z aktualizacją, jest brak odpowiednich mechanizmów (na przykład przy starych wtyczkach Flash) lub odczuwalnie wolniejsza praca nowych wersji w porównaniu do starszych (na przykład Adobe Reader 9.3.1 działa znacznie wolniej w porównaniu do bardzo starego Acrobat Readera 5.05CE, jaki nadal jest w niektórych firmach). Ponieważ dokumenty PDF mają wiele zalet (jedną z nich jest zagwarantowany poprawny wygląd niezależnie od platformy, na której działa czytnik), należy koniecznie podjąć decyzję albo o aktualizacji do najnowszej wersji (mimo odczuwalnie wolniejszej pracy), albo o wdrożeniu oprogramowania alternatywnego, razem z procedurą jego aktualizacji. Problemy mogą dotyczyć nie tylko samego oprogramowania, ale także wymagań wobec systemu operacyjnego lub sprzętu.

Obecnie najważniejszym problemem są luki w oprogramowaniu Adobe Reader, umożliwiające złamanie aplikacji oraz uruchomienie kodu (Secunia SA38551), nieco mniej krytyczne luki w popularnej wtyczce Flash oraz luki w oprogramowaniu AIR (Secunia SA38547). Oprogramowaniem alternatywnym, które może zastąpić podstawową funkcjonalność Adobe Readera, może być Foxit Reader firmy Foxit Software lub pakiet open source SumatraPDF autorstwa Krzysztofa Kowalczyka.