Rekordnagyságú frissítést kapott az Acrobat és a Reader

Az Adobe Reader és Acrobat alkalmazások kapcsán szeptemberben két nulladik napi sebezhetőségre is fény derült. Ezek közül az egyik ugyan elsősorban a Flash Playert érintette, de a cég már korábban jelezte, hogy a hiba a PDF-kezelő szoftvereiben is kimutatható. A Flash Playerre még szeptemberben "rákerült" a megfelelő folt. A Reader és az Acrobat hibajavítása a korábbi tervek szerint csak október 12-én valósult volna meg, azonban a fejlesztők előbb végeztek a hibajavításokkal, illetve azok tesztelésével, így a vártnál előbb váltak elérhetővé a legújabb szoftververziók.

A mostani frissítéssel összesen 23 sérülékenységet lehet orvosolni. A hibajavítások számát tekintve ez idei rekord. (Az eddigi legjelentősebb Acrobat és Reader foltozgatásra 2009 októberében került sor, amikor összesen 29 hibától szabadult meg a két alkalmazás.) Az Adobe szerint a 23 sebezhetőség közül 20 felhasználható tetszőleges kódok jogosulatlan futtatásához is. A cég ugyan továbbra sem hozott nyilvánosságra biztonsági besorolásokat, de például a Microsoft veszélyességi skáláján a 20 legrizikósabb hiba jelentős része kritikus minősítést kapott volna. A másik három sérülékenység némiképp kevesebb kockázatot jelent, azonban ezek is hozzájárulhatnak az érintett alkalmazások összeomlásához vagy jogosulatlan műveletek végrehajtásához. Az egyik ezek közül kizárólag a Linux operációs rendszereken okozhat problémákat.

Andrew Storms, az nCircle Security biztonsági igazgatója elmondta, hogy a mostani frissítéssel az Adobe két legyet ütött egy csapásra. Egyrészt javította a Flash esetében feltárt nulladik napi sérülékenységeket, másrészt egyúttal kiadta a negyedéves hibajavításait is. A szakember hozzátette, hogy meglátása szerint az Adobe termékei továbbra is a vírusírók célkeresztjében állnak.

Az Adobe szerint a befoltozott biztonsági rések közül kilencet a Google szakemberei fedeztek fel. Külön ki kell emelni Tavis Ormandy biztonsági mérnököt, aki nyolc sérülékenységet leplezett le. Három sebezhetőségről pedig a HP TippingPoint Zero Day Initiative (ZDI) számolt be az Adobe-nak.

Az Adobe a hibajavítások közzétételével egy időben jelezte, hogy az Acrobat és Reader alkalmazásaiba - várhatóan még az idén - bekerülő sandbox technológia fejlesztésével, integrálásával jól halad. A "Protected Mode"-ként emlegetett megoldás első működőképes verzióját a cég szakemberei az Adobe MAX 2010 rendezvényen fogják bemutatni október végén. Az Adobe reménye szerint a Protected Mode segítséget fog nyújtani abban, hogy a sebezhetőségeket kihasználó kártékony programok az eddigieknél jóval kisebb károkat tudjanak okozni a rendszerekben.

Az Adobe Reader és Acrobat frissítésére a Windows, a Mac OS X valamint a Linux kompatibilis kiadások esetén is szükség van. A legújabb verziók az Adobe weboldalairól tölthetők le.