Podziel się opinią o serwisie

reklama

IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

Biblioteka Wiedzy poleca

Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI

Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »

Raport o internetowych zagrożeniach bezpieczeństwa

"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »

Implementing IBM Systems Director 6.1

Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Adobe: dziur w Readerze i Acrobacie było więcej

26 marca 2009

securitystandard
Przedstawiciele koncernu Adobe Systems ujawnili, że udostępnione niedawno uaktualnienie dla aplikacji Adobe Reader oraz Acrobat usuwało z nich znacznie więcej krytycznych błędów, niż początkowo ujawniono.

Gdy 10 marca opublikowane zostały wydania 9.1 obu aplikacji, firma Adobe informowała, że załatano w nich jeden poważny błąd w zabezpieczeniach, który już od pewnego czasu wykorzystywany był do atakowania użytkowników. Teraz okazało się, że luk było tak naprawdę aż sześć - i wszystkie miały status błędów krytycznych (co oznacza, że mogą zostać wykorzystane do zaatakowania systemu bez żadnego działania ze strony użytkownika).

Cztery z owych błędów związane były z obsługą grafik zapisanych w skompresowanym formacie JBIG2 - warto dodać, ze to ów jedyny ujawniony na początku marca błąd też znajdował się w komponencie oprogramowania odpowiedzialnym za przetwarzanie tego formatu.

"Musieliśmy zadać sobie pytanie: czy opublikowanie od razu informacji o wszystkich lukach pomoże użytkownikom? Odpowiedź brzmiała nie. Chodzi o to, że 10 marca udostępniliśmy jedynie poprawki dla wersji 9.x dla systemów Windows i Mac OS X. Nie mieliśmy jeszcze dostępnych patchy dla Readera i Acrobata z wciąż obsługiwanej linii 8.x oraz 7.x, a także dla wydań dla Uniksa" - tłumaczy Brad Arkin, pełniący w Adobe funkcje szefa ds. bezpieczeństwa. Warto dodać, że te zaległe poprawki pojawiły się dopiero wczoraj - wtedy też oficjalnie poinformowano o wszystkich lukach.

"Chcieliśmy usunąć te błędy jak najszybciej - ale zależało nam też na tym, by w sytuacji, gdy przestępcy wykorzystują już jedną znaną lukę w JBIG maksymalnie odwlec moment upublicznienia pozostałych błędów. Dzięki temu ogromna większość użytkowników naszych programów miała dość czasu by pobrać i zainstalować uaktualnione wersje" - mówi Arkin. Przedstawiciel Adobe dodaje, że do tej pory atakowane były jedynie wydania dla Windows i Mac OS X - czyli te, które zostały załatane już ponad dwa tygodnie temu).

Cztery dodatkowe błędy związane z JBIG2 zostały wykryte przez specjalistów z Symanteka - zgłosili je oni do Adobe gdy firma rozpoczynała prace nad poprawkę usuwającą błąd wykorzystywany od stycznia. Dzięki temu programiści Adobe mogli usunąć wszystkie luki jedną poprawką. Ten pierwszy błąd wykryli z kolei eksperci z iDefense Labs (którzy już pod koniec lutego poinformowali o nim Adobe).

Ostatni ujawniony właśnie błąd nie jest związany z JBIG - luka jest co prawda krytyczna, ale jest występowanie jest dość ograniczone, więc nie został uznany za znaczące zagrożenie.

Zdaniem Andrew Stormsa, cenionego specjalisty ds. bezpieczeństwa z firmy nCircle Network Security, strategia Adobe (czyli opóźnienie opublikowania informacji o nowych lukach) generalnie była słuszna, jednak firma wprowadziła trochę niepotrzebnego zamieszania. $"Takie postępowanie jest dość sensowne - szczególnie, jeśli musisz udostępniać stopniowo poprawki do kilku różnych wersji swojego produktu w pewnym odstępach czasowych. Nie ma sensu narażać bezpieczeństwa użytkowników. Ale wrażenie psuje nieco fakt, że nawet teraz firma nie jest do końca szczera i próbowała ukryć informacje o nowych błędach - proszę zwrócić uwagę, że o lukach nie ma mowy w informacji prasowej o nowych wersjach. Aby je znaleźć, trzeba nieco pogrzebać w dokumentacji" - mówi Storms.

Więcej informacji (w tym odnośniki do uaktualnionych wersji aplikacji Adobe) znaleźć można na stronie producenta.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 4)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Adam

  • ocena: brak oceny
  • IP: 79.163.138.59
  • 26-03-2009, 08:29

Adobe zachował się tutaj prawidłowo. Dziury najpierw się łata, a potem informuje, że były, ale już nie ma. M$ powinien brać przykład.

Jotgie

  • ocena: brak oceny
  • IP: 95.48.16.42
  • 26-03-2009, 08:48

Dlatego przestałem używać. Bookmaker w połączeniu QPrinterem 2.0 zdecydowanie lepsze. QPrinter = darmowe tworzenie pdf-ów + edycja + przeglądanie łącznie z tworzeniem listy ULUBIONYCH PDF-ów. Polecam!