Adobe Scrambles כדי לתקן פגם PDF

Adobe פרסמה עלון אבטחה להודיע ​​על העדכון הקרוב של Adobe Reader 9.3.3 עבור Windows, Mac OS X ו- UNIX ו- Adobe Acrobat עבור Windows ו- Mac וכן גירסה Reader ו- Acrobat 8.2.3 עבור אותן פלטפורמות כדי לפתור מספר בעיות אבטחה. Adobe ציין כי "עדכונים אלה מייצגים שחרור מחוץ ללהקה. Adobe מתכננת כעת לשחרר את עדכון האבטחה הרבעוני הבא עבור Adobe Reader ו- Acrobat ב -12 באוקטובר 2010."

Microsoft פרסמה גם מחוץ להקה תיקון עבור Windows פגיעות קיצור - רק שבוע לפני העדכון תיקון יום שלישי. המהירות המהירה על ידי Adobe מגילוי הפגיעות לתיקון היא ראויה לשבח, אך העלייה בניצול יום אפס ואילצה הן את Adobe והן את מיקרוסופט לספק עדכונים מחוץ לתיקונים הרגילים של תיקון הטלאים, מאיימת לשלול את היתרונות של מערכת קבועה של תיקון טלאי

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

הבעיה שבה נתקלת Adobe היא פגיעות ב- Adobe Reader שנחשפה ב- Black Hat על-ידי חוקר האבטחה צ'רלי מילר. מילר עשה שם לעצמו על ידי שוב ושוב לזכות בתחרות Pwn2Own בוועידת האבטחה של CanSec West.

ייעוץ של Secunia הקשור לליקוי Adobe מסביר "הפגיעות נגרמת עקב שגיאת גלישה של מספר שלם ב- CoolType.dll בעת ניתוח "maxCompositePoints" בשדה "maxp" (טבלה מקסימלית) של גופן TrueType, ניתן לנצל אותו לזיכרון מושחת באמצעות קובץ PDF המכיל גופן TrueType בעל מבנה מיוחד. "

סיכם באנגלית פשוטה, שמנהלי IT משתמשים שאינם מפתחים יכולים להבין, Secunia מוסיף "ניצול מוצלח עשוי לאפשר ביצוע קוד שרירותי." השורה התחתונה: תוקף עלול לנצל את הפגם של Adobe Reader כדי להשתלט על מערכת פגיעה ולהתקין או לבצע תוכנות זדוניות אחרות.

באופן מעניין, זהו פגם בדרך שבה גופנים מוצגים במסמכי PDF המאפשרים לאתר האינטרנט של JailbreakMe כדי לעקוף את ההגנות iPhone ולשנות את הפונקציונליות הליבה של מערכת ההפעלה החכם. עם זאת, על פי מילר את הפגמים אינם קשורים זה לזה. למרבה המזל, אפל מתקשה לעדכן את iOS כדי לטפל בבעיה זו.

מנהלי IT המעוניינים לחשוף לניצול פוטנציאלי של פגיעות זו עד להשלמת העדכון מ- Adobe יכולים תמיד לחפש קוראי PDF חלופיים כגון FoxIt Reader ו- Nuance PDF Reader.