Adobe potwierdza lukę "Zero-Day" w nowym Acrobat Reader
Adobe potwierdza lukę "Zero-Day" w nowym Acrobat Reader
Kategorie:
Podczas ubiegłotygodniowej konferencji Black Hat, dotyczącej bezpieczeństwa komputerowego Adobe potwierdziło, że w najnowszym Adobe Reader znajduje się niebezpieczna luka. Adobe musi zdecydować czy ta sytuacja wymaga odejścia od ustalonych terminów aktualizacji i naprawienia błędu jak najszybciej.
Błąd w programie Adobe Reader został ujawniony przez sławnego hakera i badacza systemów bezpieczeństwa Chatliego Millera podczas jego wystąpienia na konferencji Black Hat. Prezentacja Millera skupiona była wokół narzędzia zwanego BitBlaze, napisanego w UC Berkeley, które jest używane po to by znacznie zmniejszyć czas w którym badacze i deweloperzy mogą przeanalizować wszystkie błędy, oraz możliwość wykorzystania ich podczas ataków.
Haker wybrał kilka błędów w Adobe Reader i OpenOffice do swoich badań. Przykłady zawierały dwa błędy w Adobe Reader 9.2.0, które zostały odkryte w listopadzie ubiegłego roku i obecnie są już naprawione, niegroźną lukę i tak zwaną lukę zero-day w ostatniej wersji aplikacji.
Ostatnia luka zero-day przykuła największą uwagę przedstawicieli firmy Adobe, którzy byli obecni na wystąpieniu Millera. Po wystąpieniu Adobe potwierdziło że luka może być wykorzystana i może prowadzić do wykonywania operacji zdalnie na maszynie posiadającej zainstalowanego Readera.
Prace nad łatką już się zaczęły, ale Adobe jeszcze nie zdecydowało czy udostępni łatkę podczas kwartalnego cyklu udostępniania uaktualnień, czy łatka będzie na tyle ważna i nie będzie można zwlekać tak długo z jej wydaniem. Badacze nie są zadowoleni z faktu że do informacji publicznej trafiły slajdy (PDF) które dosyć dokładnie opisują problem, dzięki temu ktoś może tworzyć, a nawet mógł już stworzyć działający program który wykorzysta lukę w Adobe Reader.
"Oczywiście niektóre informacje są zawarte na slajdach i zrzutach ekranu. Przeanalizujemy informacje i zdecydujemy czy te informacje są wystarczające by stworzyć program który wykorzysta lukę w programie, jeżeli tak bo określimy szacowany czas jaki będzie potrzebny do stworzenia takiego programu." - Tak skomentował całą sytuację Brad Arkin, kierownik Adobe do spraw bezpieczeństwa i prywatności.