Car-tech

Adobe Scrambles for å fikse PDF-feil

pronouncing Skewb scrambles

pronouncing Skewb scrambles
Anonim

Adobe rushing for å utvikle en oppdatering for et sikkerhetsproblem i Acrobat Reader, avslørt på Black Hat-sikkerhetskonferansen. Oppdateringen - forventet uken 16. august - blir tredje gang i år at Adobe har blitt tvunget til å fikse feil utenfor sitt regelmessige planlagte kvartalsoppdateringsmønster.

Adobe publiserte en sikkerhetsbulletin som annonserte den kommende oppdateringen for Adobe Reader 9.3.3 for Windows, Mac OS X og UNIX, og Adobe Acrobat for Windows og Mac, samt Reader og Acrobat versjon 8.2.3 for de samme plattformene for å løse et antall sikkerhetsproblemer. Adobe noterte "at disse oppdateringene representerer en utgivelsesfri utgave. Adobe planlegger nå å frigjøre den neste kvartalsvise sikkerhetsoppdateringen for Adobe Reader og Acrobat 12. oktober 2010."

Microsoft lanserte også en out-of-band patch for Windows snarvei sårbarhet - bare en uke før planlagte oppdateringer på tirsdag oppdatering. Den raske gjennomgangen av Adobe fra sikkerhetsoppdagelse til patch er lovverdig, men stigningen i nulldagers utnyttelse som tvinger både Adobe og Microsoft til å ofte gi oppdateringer utenfor den normale oppdateringsprogrammet, truer med å negere fordelene ved å ha et regelmessig planlagt oppdateringsprogram

[Ytterligere lesing: Slik fjerner du skadelig programvare fra Windows PC].

Problemet som behandles av Adobe, er et sikkerhetsproblem i Adobe Reader, som ble avduket på Black Hat av sikkerhetsforsker Charlie Miller. Miller har laget et navn for seg selv ved å gjentatte ganger vinne Pwn2Own-konkurransen på CanSec West-sikkerhetskonferansen.

En Secunia-rådgivning relatert til Adobe-feilen forklarer "Sårbarheten skyldes en heltallfeil i CoolType.dll når du analyserer "MaxCompositePoints" -verdien i tabellen "Maxp" (Maksimal profil) av en TrueType-skrifttype. Dette kan utnyttes til korrupt minne via en PDF-fil som inneholder en spesiallaget TrueType-skrift. "

Oppsummert på vanlig engelsk som IT-admins og brukere som ikke er utviklere kan forstå, tilføyer Secunia "Vellykket utnyttelse kan tillate utførelse av vilkårlig kode." Bunnlinjen: En angriper kan utnytte Adobe Reader-feilen til å ta kontroll over et sårbart system og installere eller utføre annen skadelig programvare.

Interessant er det en feil i måten fonter blir gjengitt i PDF-dokumenter som tillater JailbreakMe-nettstedet å omgå iPhone-forsvar og endre kjernefunksjonaliteten til smarttelefonens OS. Men ifølge Miller er feilene ikke relatert til hverandre. Heldigvis er Apple hard på jobb med å oppdatere iOS for å løse dette problemet.

IT-administratorer som er opptatt av å bli utsatt for potensiell utnyttelse av dette sikkerhetsproblemet i påvente av oppdateringen fra Adobe, kan alltid se på alternative PDF-lesere som FoxIt Reader og Nuance PDF Reader.