Adobe udostępnia krytyczne poprawki dla Acrobata i Readera

Zgodnie z wcześniejszymi zapowiedziami, koncern Adobe udostępnił dwie krytyczne poprawki dla swoich programów do przeglądania i tworzenia plików PDF. Specjaliści zalecają użytkownikom jak najszybsze zaktualizowanie aplikacji.

Przedstawiciele Adobe już w miniony czwartek zapowiedzieli, że 16 lutego poprawki na luki w Acrobacie i Readerze trafią do użytkowników. Jedna usuwa błąd umożliwiający zainstalowanie na zaatakowanej maszynie złośliwego oprogramowania, zaś druga - lukę typu "cross-domain request" (identyczny błąd usunięto przed tygodniem z Adobe Flash Playera). Ten drugi błąd (opisany w biletynie CVE-2010-0186) na szczęście nie może zostać wykorzystany do instalowania w systemie szkodliwego kodu - ale może posłużyć np. do przeprowadzenia klasycznego ataku cross-site scripting.

"Wszyscy obawialiśmy się, że pomiędzy czwartkiem - czyli dniem, w którym załatano Flash Playera - a dziś przestępcy zdążą wykombinować, jak tę wspólną lukę wykorzystać do atakowania Readera i Acrobata. Na szczęście nic takiego nie nastąpiło" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.

Zdaniem Stormsa, dużo ciekawszy wydaje się drugi błąd, opisany w biuletynie CVE-2010-0188. "Interesujące jest choćby to, że problem został wykryty i opisany przez Microsoft" - mówi specjalista. Faktycznie, luka została zgłoszona w ramach prowadzonego przez koncern z Redmond programu Microsoft Vulnerability Research Program (MSVR), którego głównym celem jest znajdowanie błędów w oprogramowaniu tworzonych dla Windows przez firmy trzecie (głównie wtyczkach w stylu Adobe Flasha). Tak naprawdę nie jest pewne, czy znaleźli ją pracownicy Microsoftu - również dobrze błąd mógł wykryć jeden z klientów koncernu, który później zgłosił go w MSVR. Przedstawiciele Microsoftu nie chcą zdradzić, jak to było - ograniczyli się jedynie do zadeklarowania, że błąd ten nie był jeszcze wykorzystywany przez przestępców do atakowania użytkowników.

Storms dodaje jednak, że najciekawsze jest to, iż Adobe nie ujawnia, dlaczego właściwie najnowsze poprawki zostały udostępniona poza standardowym cyklem publikowania aktualizacji. Trzeba bowiem pamiętać, że Adobe publikuje patche raz na kwartał i zwykle bardzo restrykcyjnie trzyma się tego terminarza - ostatnio firma zwlekała prawie miesiąc z udostępnieniem łat dla Readera i to mimo tego, że usuwane przez nie luki były już aktywnie wykorzystywane przez przestępców. Microsoft - który również ma dość ścisły terminarz - działa inaczej. Jeśli jakaś luka jest już wykorzystywana do atakowania klientów, to firma publikuje poprawkę najszybciej, jak się da.

A tymczasem teraz Adobe nie dość, że złamał swój sztywny cykl, to jeszcze nie wyjawia, dlaczego właściwie tak się stało. Co więcej - przedstawiciele koncernu utrzymują, że najnowsze luki nie są jeszcze wykorzystywane przez przestępców (więc odpada tu argument, że firma poszła w ślady Microsoftu). "Nagle pojawiają się jakieś tajemnicze poprawki - i to na prawie dwa miesiące wcześniej, niż powinny. Moim zdaniem efekt będzie taki, że hakerzy z całego świata zaczną im się bardzo, bardzo uważnie przyglądać - wszyscy będą chcieli rozpracować uaktualnienia, poznać szczegółowe informacje o tych lukach i stworzyć exploita" - mówi Storms.

Nasi koledzy z amerykańskiego Computerworlda spytali o to przedstawicieli koncernu - Brad Arkin, dyrektor odpowiedzialny za bezpieczeństwo produktów firmy, oświadczył, że poprawki oraz usuwane przez nie błędy zostały starannie przeanalizowane i ostatecznie podjęto decyzję, że powinny one zostać udostępnione jak najszybciej. "Na taką decyzję za każdym razem ma wpływ wiele różnych czynników - pod tym względem każda luka jest unikalna" - komentuje przedstawiciel firmy.

Więcej informacji, a także najnowsze wersje Adobe Readera (9.3.1 oraz 8.2.1) oraz Acrobata można znaleźć na stronie firmy.