Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Több mint egy tucat kritikus sebezhetőséget javított az Adobe

Bodnár Ádám, 2010. július 01. 15:28
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Soron kívül frissítette a Flash Playert és a Readert, a vállalat 17 hibát javított a termékekben, amelyek közül nem kevesebb mint 16 adott lehetőséget a támadóknak távoli kódfuttatásra.

hirdetés

A sérülékenységek a Reader és az Acrobat 9.3.2 és korábbi verzióit érintették az összes támogatott operációs rendszeren (Windows, UNIX, Mac OS X), az Adobe mindenkinek javasolja a frissítést 9.3.3 verzióra. Az Adobe egy ideje a Microsofthoz hasonló frissítési ciklus mentén minden hónap második keddjén adja ki frissítéseit a termékekhez. A soron kívüli javításra most azért volt szükség, mert a sebezhetőségek június közepén nyilvánosságra kerültek és megkezdődött azok célzott kihasználása is.

A 17 hibából egyébként ötöt Travis Ormady, a Google biztonsági szakértője jelentett az Adobe-nak, aki nemrég azzal hívta fel magára a figyelmet, hogy nyilvánosságra hozott egy Windows-sebezhetőséget mindössze öt nappal azután, hogy tájékoztatta a Microsoftot. "Mindent visszaszívok amit valaha az Adobe biztonságáról mondtam, élmény volt velük dolgozni" írta Twitter-bejegyzésében. "A Microsoft tanulhatna ezekről a srácoktól."

A Reader és Acrobat 9.3.3 verziójában az Adobe végre orvosolta azt a tervezési hibát is , amely miatt a dokumentumokba ágyazott kódok automatikusan lefutottak, ezzel lehetőséget adtak a támadóknak, hogy tetszőleges programot csempésszenek az áldozatok gépeire. Az Adobe Reader ugyan figyelmezteti a felhasználót, amikor kódindításra kerül sor, de Didier Stevens, a Contraste Europe biztonsági szakértője bemutatta, hogyan lehet ezt a párbeszédablakot úgy módosítani, hogy az megtévessze a felhasználót és kimondottan kérje a kód végrehajtását.

Nem sebezhetőség kihasználásáról van szó, hanem a PDF nyelv specifikációjának "kreatív használatáról", vélekedett Stevens. A 9.3.3 verzióban az automatikus kódfuttatás már ki van kapcsolva és a párbeszédablak tartalmát sem lehet a Stevens által dokumentált módszerrel megváltoztatni. Stevens egyébként blogjában megerősítette, hogy az általa leírt módszer a frissítés után már nem működik.

A Reader és Acrobat felhasználói a beépített automatikus frissítés segítségével tehetik naprakésszé a szoftvereket, illetve letölthetik a legújabb verzió az Adobe oldaláról.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.