Podziel się opinią o serwisie

reklama

IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

Biblioteka Wiedzy poleca

Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI

Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »

Raport o internetowych zagrożeniach bezpieczeństwa

"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »

Implementing IBM Systems Director 6.1

Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Adobe udostępnia krytyczne poprawki dla Acrobata i Readera

17 lutego 2010

securitystandard
Zgodnie z wcześniejszymi zapowiedziami, koncern Adobe udostępnił dwie krytyczne poprawki dla swoich programów do przeglądania i tworzenia plików PDF. Specjaliści zalecają użytkownikom jak najszybsze zaktualizowanie aplikacji.

Przedstawiciele Adobe już w miniony czwartek zapowiedzieli, że 16 lutego poprawki na luki w Acrobacie i Readerze trafią do użytkowników. Jedna usuwa błąd umożliwiający zainstalowanie na zaatakowanej maszynie złośliwego oprogramowania, zaś druga - lukę typu "cross-domain request" (identyczny błąd usunięto przed tygodniem z Adobe Flash Playera). Ten drugi błąd (opisany w biletynie CVE-2010-0186) na szczęście nie może zostać wykorzystany do instalowania w systemie szkodliwego kodu - ale może posłużyć np. do przeprowadzenia klasycznego ataku cross-site scripting.

"Wszyscy obawialiśmy się, że pomiędzy czwartkiem - czyli dniem, w którym załatano Flash Playera - a dziś przestępcy zdążą wykombinować, jak tę wspólną lukę wykorzystać do atakowania Readera i Acrobata. Na szczęście nic takiego nie nastąpiło" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security.

Zdaniem Stormsa, dużo ciekawszy wydaje się drugi błąd, opisany w biuletynie CVE-2010-0188. "Interesujące jest choćby to, że problem został wykryty i opisany przez Microsoft" - mówi specjalista. Faktycznie, luka została zgłoszona w ramach prowadzonego przez koncern z Redmond programu Microsoft Vulnerability Research Program (MSVR), którego głównym celem jest znajdowanie błędów w oprogramowaniu tworzonych dla Windows przez firmy trzecie (głównie wtyczkach w stylu Adobe Flasha). Tak naprawdę nie jest pewne, czy znaleźli ją pracownicy Microsoftu - również dobrze błąd mógł wykryć jeden z klientów koncernu, który później zgłosił go w MSVR. Przedstawiciele Microsoftu nie chcą zdradzić, jak to było - ograniczyli się jedynie do zadeklarowania, że błąd ten nie był jeszcze wykorzystywany przez przestępców do atakowania użytkowników.

Storms dodaje jednak, że najciekawsze jest to, iż Adobe nie ujawnia, dlaczego właściwie najnowsze poprawki zostały udostępniona poza standardowym cyklem publikowania aktualizacji. Trzeba bowiem pamiętać, że Adobe publikuje patche raz na kwartał i zwykle bardzo restrykcyjnie trzyma się tego terminarza - ostatnio firma zwlekała prawie miesiąc z udostępnieniem łat dla Readera i to mimo tego, że usuwane przez nie luki były już aktywnie wykorzystywane przez przestępców. Microsoft - który również ma dość ścisły terminarz - działa inaczej. Jeśli jakaś luka jest już wykorzystywana do atakowania klientów, to firma publikuje poprawkę najszybciej, jak się da.

A tymczasem teraz Adobe nie dość, że złamał swój sztywny cykl, to jeszcze nie wyjawia, dlaczego właściwie tak się stało. Co więcej - przedstawiciele koncernu utrzymują, że najnowsze luki nie są jeszcze wykorzystywane przez przestępców (więc odpada tu argument, że firma poszła w ślady Microsoftu). "Nagle pojawiają się jakieś tajemnicze poprawki - i to na prawie dwa miesiące wcześniej, niż powinny. Moim zdaniem efekt będzie taki, że hakerzy z całego świata zaczną im się bardzo, bardzo uważnie przyglądać - wszyscy będą chcieli rozpracować uaktualnienia, poznać szczegółowe informacje o tych lukach i stworzyć exploita" - mówi Storms.

Nasi koledzy z amerykańskiego Computerworlda spytali o to przedstawicieli koncernu - Brad Arkin, dyrektor odpowiedzialny za bezpieczeństwo produktów firmy, oświadczył, że poprawki oraz usuwane przez nie błędy zostały starannie przeanalizowane i ostatecznie podjęto decyzję, że powinny one zostać udostępnione jak najszybciej. "Na taką decyzję za każdym razem ma wpływ wiele różnych czynników - pod tym względem każda luka jest unikalna" - komentuje przedstawiciel firmy.

Więcej informacji, a także najnowsze wersje Adobe Readera (9.3.1 oraz 8.2.1) oraz Acrobata można znaleźć na stronie firmy.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 3)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

~Gość

  • ocena: 5
  • IP: 85.128.36.194
  • 18-02-2010, 08:51

Trawnie przy starych rozwiązaniach i javie powoduje narastajace (niedoopanowania po sensownych kosztach) problem - nawet gdy pracownicy pracowali by z oddaniem.

~max

  • ocena: brak oceny
  • IP: 89.79.165.125
  • 18-02-2010, 11:04

Pozostań więc, klakierze przebrzydły, przy nowych rozwiązaniach (które niedługo będziesz stosował samotnie) i uruchom sobie jakieś sprawdzanie pisowni.
Dla twojej wiadomości - artykuł był o Adobe Readerze i Adobe Acrobacie, nie o Javie.