Szerző: Koi Tamás

2009. december 15. 10:24

Megint biztonsági rést találtak az Adobe Readerben

Ismét biztonsági rést találtak az Adobe ingyenes PDF-olvasó programjában, a Readerben. Az alkalmazást idén immáron sokadszorra támadják - jelenleg még nem tudni, mekkora a veszély.

Az Adobe hétfői tájékoztatása szerint az Adobe Reader legfrissebb, 9.2-es verzióját, valamint az összes korábbi változatot érintő biztonsági résről a cég partnerei nyújtottak először tájékoztatást. Az Adobe nem tud róla, hogy a sebezhetőséget konkrét esetekben támadásokra használták volna hackerek. A vállalat termékbiztonsági \"akciócsoportja\" (product security incident response team) jelenleg is vizsgálja a sebezhetőség súlyosságát, ez alapján dönt arról a cég, hogy mikor és milyen formában érkezhet javítás.

Az Adobe ingyenes alkalmazásait, így elsősorban a Readert és a Flash Playert idén számos súlyos támadás érte, ráadásul a vállalat eleinte meglehetősen lomhán is reagált ezekre. A cég márciusban egy olyan sérülékenységet javított ki a PDF-olvasóban, melyet hackerek akkor már csaknem három hónapja kihasználtak. Ezt követően májusban és júliusban újabb javítások érkeztek a programokhoz, melyek szintén komoly 0-day sebezhetőségeket javítottak.

Az Adobe-ot a lassú reakció és a komoly biztonsági kockázatot jelentő szoftverek miatt végül annyi kritika érte, hogy a vállalat májusban bejelentette, a nyártól bevezetik az úgynevezett \"patch keddet\", azonban nem havonta, hanem negyedévente tesznek közzé javításokat különböző szoftvereihez, mindig az aktuális negyedév második hetének keddjén.

A legutolsó összevont frissítés október közepén érkezett az Adobe Readerhez, mellyel közel 30 biztonsági rést foltoztak be a fejlesztők. Ezek közül legalább egy olyan (úgynevezett 0-day) jellegű sebezhetőség volt, melyet hackerek hosszabb ideje kihasználtak támadásaikhoz. Az Adobe másik népszerű ingyenes programjához, a Flash Playerhez épp a múlt héten érkezett összevont biztonsági frissítés, mely hét sebezhetőséget javított (ebből hat kapott kritikus besorolást).

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról