Przedstawiciele koncernu Adobe Systems ujawnili, że udostępnione niedawno uaktualnienie dla aplikacji Adobe Reader oraz Acrobat usuwało z nich znacznie więcej krytycznych błędów, niż początkowo ujawniono.
Gdy 10 marca opublikowane zostały wydania 9.1 obu aplikacji, firma Adobe informowała, że załatano w nich jeden poważny błąd w zabezpieczeniach, który już od pewnego czasu wykorzystywany był do atakowania użytkowników. Teraz okazało się, że luk było tak naprawdę aż sześć - i wszystkie miały status błędów krytycznych (co oznacza, że mogą zostać wykorzystane do zaatakowania systemu bez żadnego działania ze strony użytkownika).
Cztery z owych błędów związane były z obsługą grafik zapisanych w skompresowanym formacie JBIG2 - warto dodać, ze to ów jedyny ujawniony na początku marca błąd też znajdował się w komponencie oprogramowania odpowiedzialnym za przetwarzanie tego formatu.
"Musieliśmy zadać sobie pytanie: czy opublikowanie od razu informacji o wszystkich lukach pomoże użytkownikom? Odpowiedź brzmiała nie. Chodzi o to, że 10 marca udostępniliśmy jedynie poprawki dla wersji 9.x dla systemów Windows i Mac OS X. Nie mieliśmy jeszcze dostępnych patchy dla Readera i Acrobata z wciąż obsługiwanej linii 8.x oraz 7.x, a także dla wydań dla Uniksa" - tłumaczy Brad Arkin, pełniący w Adobe funkcje szefa ds. bezpieczeństwa. Warto dodać, że te zaległe poprawki pojawiły się dopiero wczoraj - wtedy też oficjalnie poinformowano o wszystkich lukach.
"Chcieliśmy usunąć te błędy jak najszybciej - ale zależało nam też na tym, by w sytuacji, gdy przestępcy wykorzystują już jedną znaną lukę w JBIG maksymalnie odwlec moment upublicznienia pozostałych błędów. Dzięki temu ogromna większość użytkowników naszych programów miała dość czasu by pobrać i zainstalować uaktualnione wersje" - mówi Arkin. Przedstawiciel Adobe dodaje, że do tej pory atakowane były jedynie wydania dla Windows i Mac OS X - czyli te, które zostały załatane już ponad dwa tygodnie temu).
Cztery dodatkowe błędy związane z JBIG2 zostały wykryte przez specjalistów z Symanteka - zgłosili je oni do Adobe gdy firma rozpoczynała prace nad poprawkę usuwającą błąd wykorzystywany od stycznia. Dzięki temu programiści Adobe mogli usunąć wszystkie luki jedną poprawką. Ten pierwszy błąd wykryli z kolei eksperci z iDefense Labs (którzy już pod koniec lutego poinformowali o nim Adobe).
Ostatni ujawniony właśnie błąd nie jest związany z JBIG - luka jest co prawda krytyczna, ale jest występowanie jest dość ograniczone, więc nie został uznany za znaczące zagrożenie.
Zdaniem Andrew Stormsa, cenionego specjalisty ds. bezpieczeństwa z firmy nCircle Network Security, strategia Adobe (czyli opóźnienie opublikowania informacji o nowych lukach) generalnie była słuszna, jednak firma wprowadziła trochę niepotrzebnego zamieszania. $"Takie postępowanie jest dość sensowne - szczególnie, jeśli musisz udostępniać stopniowo poprawki do kilku różnych wersji swojego produktu w pewnym odstępach czasowych. Nie ma sensu narażać bezpieczeństwa użytkowników. Ale wrażenie psuje nieco fakt, że nawet teraz firma nie jest do końca szczera i próbowała ukryć informacje o nowych błędach - proszę zwrócić uwagę, że o lukach nie ma mowy w informacji prasowej o nowych wersjach. Aby je znaleźć, trzeba nieco pogrzebać w dokumentacji" - mówi Storms.
Więcej informacji (w tym odnośniki do uaktualnionych wersji aplikacji Adobe) znaleźć można na stronie producenta.
Comments
Dziękujemy za dokonanie
Dziękujemy za dokonanie płatności.
Zamówione usługi zostały skierowane do realizacji.
Numer transakcji: 54087/przelew24/2009