Adobe Reader: nowa luka 'zero-day'

Subskrybuj RSS A A A
29 kwietnia 2009 6:05
securitystandard

Przedstawiciele koncernu Adobe System przyznali, że w aplikacji Adobe Reader (popularnym, darmowym czytniku plików PDF) znajduje się krytyczny błąd związany z obsługą skryptów JavaScript. Luka pozwala zdalnemu napastnikowi na uruchomienie w systemie złośliwego kodu.

Specjaliści ds. bezpieczeństwa podkreślają, że dziura (już nadano jej status "krytycznej") to właściwie nic nowego - w Readerze podobne błędy znajdowane są od lat. To efekt kiepskiej implementacji obsługi JavaScript w produkcie Adobe.

Jako pierwsza o problemie poinformowała firma SecurityFocus - na jej stronie pojawił się niedawno opis problemu oraz odnośnik do strony, na której osadzony był kod demonstrujący przebieg ataku. "Napastnik może wykorzystać lukę do nieautoryzowanego uruchomienia w systemie kodu - z uprawnieniami aktualnie zalogowanego użytkownka" - napisali eksperci z SecurityFocus.

Problem dotyczy najnowszych, w pełni załatanych wydań Adobe Readera - zarówno 9.1, jak i 8.1.4 (Adobe wciąż utrzymuje dwie serie AR). Problem na pewno występuje w wydaniu linuksowym - ale specjaliści są przekonani, że luka dotyczy również Readera dla Windows i Mac OS X. To typowa luka 'zero-day' - tym terminem określa się błędy, które zostają upublicznione zanim producent przygotuje usuwające je poprawkę.

Adobe potwierdził te doniesienia dość lakonicznie - David Lenoe, odpowiedzialny w firmie za bezpieczeństwo produktów, napisał: "Zapoznaliśmy się z raportami dotyczącymi potencjalnej słabości aplikacji Adobe Reader. W tej chwili analizujemy problem - gdy tylko będziemy gotowi, przygotujemy i udostępnimy odpowiednią aktualizację".

Rzecznik koncernu nie chciał komentować tych doniesień - stwierdził, że wypowiedź Lenoe'a jest jedynym oficjalnym komunikatem w tej sprawie. Zapowiedział jednak, że na stronie firmy pojawi się wkrótce więcej informacji.

Warto przypomnieć, że Adobe ma ostatnio sporo problemów z błędami - w lutym firma przyznała, że w zabezpieczeniach Readera jest "jeden lub może nawet więcej błędów", po czym zwlekała prawie miesiąc z rozpoczęciem ich łatania (w pierwszej kolejności usunięto je z AR dla Windows). W tym czasie przestępcy bez problemu korzystali z nich podczas atakowania użytkowników. Co więcej, gdy w końcu luki zostały załatane, okazało się, że błędów było znacznie więcej.

"Mamy do czynienia z błędami bardzo podobnymi do tych lutowych - Adobe ma od lat problemy z JavaScript. To u nich ostatnio prawdziwa epidemia - co chwilę ktoś znajduje nowe luki. Cała ta sytuacja jest też dowodem, że Adobe zupełnie nie radzi sobie z polityką bezpieczeństwa - po raz kolejny pojawia się prototypowy kod, demonstrujący jak wykorzystać lukę. Dużo lepiej robi to Microsoft - firma z Redmond nauczyła się już współpracować z hakerami i dzięki temu o błędach w jej oprogramowaniu dowiadujemy się zwykle dopiero wtedy, gdy zostaną załatane" - mówi Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.

Warto dodać, że grupa cenionych specjalistów ds. bezpieczeństwa (w tym Mikko Hypponen, z F-Secure) zaleciła niedawno, by użytkownicy w ogóle zrezygnowali z korzystania z Adobe Readera - na rzecz darmowych i bezpieczniejszych alternatyw. Ale Storms jest to tego apelu nastawiony sceptycznie - jego zdaniem w tej chwili trudno wskazać taką bezpieczną alternatywę.

Przedstawiciel nCircle ma sporo racji - warto wspomnieć, że przy poprzednim "readerowym kryzysie" (w lutym i marcu) wielu specjalistów zalecało użytkownikom Adobe Readera przesiadkę na darmowy program Foxit Reader. Niestety, wkrótce później okazało się, że w nim również znajduje się krytyczny błąd w zabezpieczeniach... I to bardzo podobny do tego w Readerze. Pisaliśmy o tym w tekście "Foxit też dziurawy".

Oceń artykuł

średnio: 0 liczba ocen: 0

Komentarze (6)

art

29-04-2009 19:56

@ocb?: JavaScript jest potrzebny np. do wysłania PIT-a. @Apage: zainwestowali nie tylko w PR. Pod względem zainteresowania problemami bezpieczeństwa przeszli długą drogę. Widać to również w statystykach. Błedy oczywiście nadal są znajdowane, ale często są to pozostałości po wcześniejszej twórczości bądź całkowicie nowe typy błedów. W porównaniu do Adoby czy Oracle, MS wypada naprawdę nieźle.

~Gość

29-04-2009 16:26

"Foxit też dziurawy" A chciałem juz napisać, że: Jak dobrze, że mam Foxit''a. Mam nadzieję, że ta nowa dziura go nie dotyczy, ale nic nie wiadomo. Trzeba będzie poszukać jeszcze innego czytnika.Trudno.

Apage

29-04-2009 14:09

"Dużo lepiej robi to Microsoft", czyli warto inwestować w PR

blabla

29-04-2009 11:26

jak to po co? by się móc na niego włamać! :D

B_u_b_a

29-04-2009 09:27

zapytaj google

ocb?

29-04-2009 08:02

Ale po co JavaScript w czytniku pdf?


Najnowsze

MAC, czyli ministerstwo reformowania rządzenia

Premier wspiera lojalnie w kryzysie najbliższego współpracownika, Michała Boniego, przyjmując na siebie atak oburzonych internautów podczas debaty o ACTA.

Nowe, unijne zamówienia publiczne

Komisja Europejska proponuje ważne zmiany prawa wspólnotowego w obszarze zamówień publicznych. Warto im się przyjrzeć bo to jeden z elementów nowej perspektywy finansowej UE. Warto zatem przyjrzeć się owej propozycji bliżej.

Bezpieczeństwo rządowych stron - analiza

Zespół zadaniowy ds. ochrony portali rządowych opublikował wytyczne. Trudno stwierdzić, że to najlepsze rekomendacje, jakie można było przy okazji zaistniałych ataków wypracować.

DEBATA: Kiedy walka polityczna w sieci przemienia się w cyberterroryzm?

Skuteczny atak cybernetyczny przyniesie opłakane skutki dla państwa i gospodarki. Boleśnie się o tym przekonaliśmy, gdy nie można było dostać się na strony internetowe najważniejszych instytucji w Polsce.

Czy MSW chce unieważnienia przetargu na pl.ID?

Rośnie ryzyko całkowitego unieważnienia przetargu na nowe dowody osobiste. Krajowa Izba Odwoławcza odrzuciła odwołanie firmy Sygnity, która nie zgadzała się na wydłużenie o trzy miesiące terminu składania ofert na dostawę blankietów nowych dowodów osobistych. Wydłużenie całego postępowania o trzy miesiące może spowodować skargi uczestniczących w nim firm, a w konsekwencji unieważnienie przetargu.

Garść rad dla roztropnego szefa IT

Trudne czasy w gospodarce to okres, kiedy szczególnego znaczenia nabiera hasło: Jak cię widza, tak cię piszą. Osłabienie rynku przekłada się na oszczędności w przedsiębiorstwie, a oszczędności najłatwiej szukać w działach, które, w opinii zarządu, nie są bezpośrednio związane z prowadzoną działalnością - czyli również w dziale IT.

Sprzeczne wizje e-dowodu

Koncepcja elektronicznego dowodu osobistego powstała w Polsce wiele lat temu. Starsze są koncepcje elektronicznego systemu świadczeń ochrony zdrowia. Mimo to, nadal są w trakcie budowy.

Rekomendacje


Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
© Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88