Kritikus hiba: védtelen az Adobe Acrobat és a Reader

Idén az Adobe meglehetősen komoly biztonsági nehézségeket volt kénytelen leküzdeni a különféle, széles körben használt szoftvereinek esetében. Különösen igaz mindez a Flash, az Acrobat és a Reader alkalmazásokra. Ez utóbbi két szoftverben idén már legalább kétszer (márciusban és májusban) kellett a cég fejlesztőinek olyan nulladik napi sérülékenységeket orvosolniuk, amelyekhez úgy váltak elérhetővé a kihasználásukhoz szükséges kódok, hogy a hibajavítások még nem készültek el. Sajnos az elmúlt napokban ismét egy ilyen sebezhetőségre derült fény, amelynek létezését az Adobe már meg is erősítette.

A legújabb sérülékenység legfontosabb jellemzője, hogy speciálisan szerkesztett, PDF formátumú állományokkal használható ki. Amennyiben a támadóknak sikerül kiaknázniuk a hibában rejlő "lehetőségeket", akkor hozzáférést szerezhetnek az érintett rendszerekhez, majd azokon tetszőleges kódokat futtathatnak le. A sebezhetőség az Adobe Acrobat és Reader alkalmazások 9.2-es, illetve az ennél korábbi verzióiban is megtalálható.

Az Isidor Biztonsági Központ - hasonlóan, mint ahogy azt például a Secunia biztonsági cég is tette - a legveszélyesebb sérülékenységek közé sorolta a mostani biztonsági rést. Erre főleg azért volt szükség, mert egyelőre sajnos nem sok védelmi eszköz áll rendelkezésre a kockázatok csökkentéséhez, miközben a biztonsági rés kihasználásához szükség kódok már felbukkantak az interneten. Ezért jelenleg a legjobb módszernek az számít, ha csak megbízható forrásból származó állományok kerülnek megnyitásra a két érintett szoftver segítségével. A kockázatokat csökkentheti továbbá a JavaScript támogatás letiltása az érintett szoftverek beállításaiban (az "Acrobat JavaScript engedélyezése" vagy az angol verziókban az "Enable Acrobat JavaScript" opció kikapcsolása), valamint az erre alkalmas Windows operációs rendszerek esetében a DEP használata.

Az Adobe szakemberei jelenleg is vizsgálják a Reader és az Acrobat alkalmazásokat érintő sebezhetőséget. Az Adobe e két szoftverének esetében éppen idén állt át a negyedévenkénti frissítésekre. Amennyiben ehhez tartja magát a cég - márpedig a jelenlegi tervek szerint igen -, akkor csak január 12-én jelenhetnek meg a hibajavítások. A cég közleményéből az derül ki, hogy egyelőre nem várható soron kívüli frissítés.

Az Adobe az Acrobat és a Reader szoftvereit legutóbb októberben frissítette, amikor huszonkilenc biztonsági rést foltozott be azokon. A múlt héten pedig a Flash Playerhez tett közzé egy fontos frissítést.