Adobe Reader: nowa luka 'zero-day'

Przedstawiciele koncernu Adobe System przyznali, że w aplikacji Adobe Reader (popularnym, darmowym czytniku plików PDF) znajduje się krytyczny błąd związany z obsługą skryptów JavaScript. Luka pozwala zdalnemu napastnikowi na uruchomienie w systemie złośliwego kodu.

Specjaliści ds. bezpieczeństwa podkreślają, że dziura (już nadano jej status "krytycznej") to właściwie nic nowego - w Readerze podobne błędy znajdowane są od lat. To efekt kiepskiej implementacji obsługi JavaScript w produkcie Adobe.

Jako pierwsza o problemie poinformowała firma SecurityFocus - na jej stronie pojawił się niedawno opis problemu oraz odnośnik do strony, na której osadzony był kod demonstrujący przebieg ataku. "Napastnik może wykorzystać lukę do nieautoryzowanego uruchomienia w systemie kodu - z uprawnieniami aktualnie zalogowanego użytkownka" - napisali eksperci z SecurityFocus.

Problem dotyczy najnowszych, w pełni załatanych wydań Adobe Readera - zarówno 9.1, jak i 8.1.4 (Adobe wciąż utrzymuje dwie serie AR). Problem na pewno występuje w wydaniu linuksowym - ale specjaliści są przekonani, że luka dotyczy również Readera dla Windows i Mac OS X. To typowa luka 'zero-day' - tym terminem określa się błędy, które zostają upublicznione zanim producent przygotuje usuwające je poprawkę.

Adobe potwierdził te doniesienia dość lakonicznie - David Lenoe, odpowiedzialny w firmie za bezpieczeństwo produktów, napisał: "Zapoznaliśmy się z raportami dotyczącymi potencjalnej słabości aplikacji Adobe Reader. W tej chwili analizujemy problem - gdy tylko będziemy gotowi, przygotujemy i udostępnimy odpowiednią aktualizację".

Rzecznik koncernu nie chciał komentować tych doniesień - stwierdził, że wypowiedź Lenoe'a jest jedynym oficjalnym komunikatem w tej sprawie. Zapowiedział jednak, że na stronie firmy pojawi się wkrótce więcej informacji.

Warto przypomnieć, że Adobe ma ostatnio sporo problemów z błędami - w lutym firma przyznała, że w zabezpieczeniach Readera jest "jeden lub może nawet więcej błędów", po czym zwlekała prawie miesiąc z rozpoczęciem ich łatania (w pierwszej kolejności usunięto je z AR dla Windows). W tym czasie przestępcy bez problemu korzystali z nich podczas atakowania użytkowników. Co więcej, gdy w końcu luki zostały załatane, okazało się, że błędów było znacznie więcej.

"Mamy do czynienia z błędami bardzo podobnymi do tych lutowych - Adobe ma od lat problemy z JavaScript. To u nich ostatnio prawdziwa epidemia - co chwilę ktoś znajduje nowe luki. Cała ta sytuacja jest też dowodem, że Adobe zupełnie nie radzi sobie z polityką bezpieczeństwa - po raz kolejny pojawia się prototypowy kod, demonstrujący jak wykorzystać lukę. Dużo lepiej robi to Microsoft - firma z Redmond nauczyła się już współpracować z hakerami i dzięki temu o błędach w jej oprogramowaniu dowiadujemy się zwykle dopiero wtedy, gdy zostaną załatane" - mówi Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.

Warto dodać, że grupa cenionych specjalistów ds. bezpieczeństwa (w tym Mikko Hypponen, z F-Secure) zaleciła niedawno, by użytkownicy w ogóle zrezygnowali z korzystania z Adobe Readera - na rzecz darmowych i bezpieczniejszych alternatyw. Ale Storms jest to tego apelu nastawiony sceptycznie - jego zdaniem w tej chwili trudno wskazać taką bezpieczną alternatywę.

Przedstawiciel nCircle ma sporo racji - warto wspomnieć, że przy poprzednim "readerowym kryzysie" (w lutym i marcu) wielu specjalistów zalecało użytkownikom Adobe Readera przesiadkę na darmowy program Foxit Reader. Niestety, wkrótce później okazało się, że w nim również znajduje się krytyczny błąd w zabezpieczeniach... I to bardzo podobny do tego w Readerze. Pisaliśmy o tym w tekście "Foxit też dziurawy".