Adobe wreszcie łata Readera

Dziś w nocy koncernu Adobe udostępnił w końcu poprawkę, usuwającą z Adobe Readera znany od kilku tygodni (i wykorzystywany już do atakowania użytkowników) poważny błąd w zabezpieczeniach. Koncern załatał przy okazji siedem innych luk w Readerze i Acrobacie (aż sześć z nich uznano za luki krytyczne).

Warto dodać, że wczoraj swoje poprawki opublikował też Microsoft - ale tym razem koncern Redmond przygotował tylko jedno, i to nie specjalnie istotne, uaktualnienie dla Windows. Dlatego też specjaliści ds. bezpieczeństwa zalecają użytkownikom i administratorom, by w pierwszej kolejności zajęli się łataniem Adobe Acrobata i Readera - bo błędy w tych aplikacjach nie dość, że są dużo poważniejsze, to na dodatek już od co najmniej od połowy grudnia są wykorzystywane przez cyberprzestępców. Dodajmy, że chyba pierwszy raz w historii poprawki Microsofu zostały uznane za mniej istotne niż uaktualnienia Adobe...

Oczywiście, najważniejszy patch od Adobe to ten, który usuwa wspomnianą lukę w zabezpieczeniach Adobe Readera. Pierwsze informacje na jej temat pojawiły się na specjalistycznych forach już pod koniec listopada, zaś Adobe oficjalnie potwierdził ją w połowie grudnia (wtedy też zaczęły się pierwsze ataki). Opieszałość w usuwanie tego błędu ściągnęła na firmę falę krytyki - przedstawiciele Adobe już pod koniec grudnia zapowiedzieli bowiem, że rozwiążą problem dopiero w połowie stycznia (tzn. dokładnie kwartał po udostępnieniu poprzedniego zestawu uaktualnień - Adobe od pewnego czasu stara się publikować swoje łaty w regularnych odstępach czasu).

Dodajmy, że pierwsze ataki przeprowadzane z wykorzystaniem tej luki były dość ograniczone - ich celem były zwykle konkretne firmy i organizacje. Później jednak zjawisko stało się masowe - złośliwe pliki były "hurtowo" wysyłane do przypadkowych internautów z całego świata.

Z opisu sześć z ośmiu udostępnionych właśnie poprawek zaznaczono, iż usuwają one luki "umożliwiające nieautoryzowane uruchomienie w systemie szkodliwego kodu". To znaczy, że mamy do czynienia z tzw. lukami krytycznymi (aczkolwiek pracownicy Adobe nie użyli w alercie tego sformułowania - ale to nie jest specjalną niespodzianką, ponieważ Adobe nie używa powszechnie przyjętego w branży IT nazewnictwa błędów).

Trzy krytyczne błędy znaleziono w modułach Readera i Acrobata odpowiedzialnych za parsowanie plików, zaś jeden w wbudowanym do aplikacji narzędziu do pobierania danych. Piąta luka związana była z obsługą pamięci, zaś ostatni "krytyczny" błąd pozwalał na nieautoryzowane zmodyfikowanie zabezpieczeń aplikacji.

Uaktualnienia przeznaczone są dla Readera i Acrobata w wersjach, odpowiednio, 9.3. oraz 8.2. Nowy Reader dostępny jest dla Windows, Mac OS X oraz Linuksa (Acrobat - wyłącznie dla Windows i Mac OS X). Aplikacje w wersji 7.x nie zostaną uaktualnione - Adobe niedawno zakończył świadczenie wsparcia technicznego dla tych wersji.

Warto dodać, że Adobe wdrożył właśnie nowy, zautomatyzowany system uaktualniania swoich aplikacji - Adobe Reader/Acrobat Updater. Narzędzie to było instalowana na komputerach użytkowników już od kilku miesięcy, ale dopiero teraz zostanie oficjalnie uaktywnione.

Więcej informacji oraz pliki do pobrania można znaleźć na stronie Adobe.com.

O luce w Readerze i Acrobacie, a także o związanych z nimi zagrożeniach pisaliśmy już kilkakrotnie, m.in. w tekstach:
"Nowa luka w Adobe: exploit jest, ale na patcha poczekamy"
"Adobe tłumaczy się z opóźnień w łataniu"
"Nowe ataki na lukę "zero-day" w Readerze"