Podziel się opinią o serwisie
popularne komentowane nowości

Biblioteka Wiedzy poleca

Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Adobe: dziur w Readerze i Acrobacie było więcej

26 marca 2009

securitystandard
Przedstawiciele koncernu Adobe Systems ujawnili, że udostępnione niedawno uaktualnienie dla aplikacji Adobe Reader oraz Acrobat usuwało z nich znacznie więcej krytycznych błędów, niż początkowo ujawniono.

Gdy 10 marca opublikowane zostały wydania 9.1 obu aplikacji, firma Adobe informowała, że załatano w nich jeden poważny błąd w zabezpieczeniach, który już od pewnego czasu wykorzystywany był do atakowania użytkowników. Teraz okazało się, że luk było tak naprawdę aż sześć - i wszystkie miały status błędów krytycznych (co oznacza, że mogą zostać wykorzystane do zaatakowania systemu bez żadnego działania ze strony użytkownika).

Cztery z owych błędów związane były z obsługą grafik zapisanych w skompresowanym formacie JBIG2 - warto dodać, ze to ów jedyny ujawniony na początku marca błąd też znajdował się w komponencie oprogramowania odpowiedzialnym za przetwarzanie tego formatu.

"Musieliśmy zadać sobie pytanie: czy opublikowanie od razu informacji o wszystkich lukach pomoże użytkownikom? Odpowiedź brzmiała nie. Chodzi o to, że 10 marca udostępniliśmy jedynie poprawki dla wersji 9.x dla systemów Windows i Mac OS X. Nie mieliśmy jeszcze dostępnych patchy dla Readera i Acrobata z wciąż obsługiwanej linii 8.x oraz 7.x, a także dla wydań dla Uniksa" - tłumaczy Brad Arkin, pełniący w Adobe funkcje szefa ds. bezpieczeństwa. Warto dodać, że te zaległe poprawki pojawiły się dopiero wczoraj - wtedy też oficjalnie poinformowano o wszystkich lukach.

"Chcieliśmy usunąć te błędy jak najszybciej - ale zależało nam też na tym, by w sytuacji, gdy przestępcy wykorzystują już jedną znaną lukę w JBIG maksymalnie odwlec moment upublicznienia pozostałych błędów. Dzięki temu ogromna większość użytkowników naszych programów miała dość czasu by pobrać i zainstalować uaktualnione wersje" - mówi Arkin. Przedstawiciel Adobe dodaje, że do tej pory atakowane były jedynie wydania dla Windows i Mac OS X - czyli te, które zostały załatane już ponad dwa tygodnie temu).

Cztery dodatkowe błędy związane z JBIG2 zostały wykryte przez specjalistów z Symanteka - zgłosili je oni do Adobe gdy firma rozpoczynała prace nad poprawkę usuwającą błąd wykorzystywany od stycznia. Dzięki temu programiści Adobe mogli usunąć wszystkie luki jedną poprawką. Ten pierwszy błąd wykryli z kolei eksperci z iDefense Labs (którzy już pod koniec lutego poinformowali o nim Adobe).

Ostatni ujawniony właśnie błąd nie jest związany z JBIG - luka jest co prawda krytyczna, ale jest występowanie jest dość ograniczone, więc nie został uznany za znaczące zagrożenie.

Zdaniem Andrew Stormsa, cenionego specjalisty ds. bezpieczeństwa z firmy nCircle Network Security, strategia Adobe (czyli opóźnienie opublikowania informacji o nowych lukach) generalnie była słuszna, jednak firma wprowadziła trochę niepotrzebnego zamieszania. $"Takie postępowanie jest dość sensowne - szczególnie, jeśli musisz udostępniać stopniowo poprawki do kilku różnych wersji swojego produktu w pewnym odstępach czasowych. Nie ma sensu narażać bezpieczeństwa użytkowników. Ale wrażenie psuje nieco fakt, że nawet teraz firma nie jest do końca szczera i próbowała ukryć informacje o nowych błędach - proszę zwrócić uwagę, że o lukach nie ma mowy w informacji prasowej o nowych wersjach. Aby je znaleźć, trzeba nieco pogrzebać w dokumentacji" - mówi Storms.

Więcej informacji (w tym odnośniki do uaktualnionych wersji aplikacji Adobe) znaleźć można na stronie producenta.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 6)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

Adam

  • ocena: brak oceny
  • IP: 79.163.138.59
  • 26-03-2009, 08:29

Adobe zachował się tutaj prawidłowo. Dziury najpierw się łata, a potem informuje, że były, ale już nie ma. M$ powinien brać przykład.

Jotgie

  • ocena: brak oceny
  • IP: 95.48.16.42
  • 26-03-2009, 08:48

Dlatego przestałem używać. Bookmaker w połączeniu QPrinterem 2.0 zdecydowanie lepsze. QPrinter = darmowe tworzenie pdf-ów + edycja + przeglądanie łącznie z tworzeniem listy ULUBIONYCH PDF-ów. Polecam!