V produktech firmy Adobe byla nalezena zneužívaná bezpečnostní chyba
Washingtonská odbornice Mila Parkourová objevila zneužití programu Adobe Acrobat a příbuzného programu Acrobat Reader. Jedná se o takzvaný 0-day exploit (doslova zneužití v nultý den), kdy je bezpečnostní chyba odhalena vývojáři až v okamžiku, kdy už je útočníky zneužívána. V tomto případě došlo k rozesílání e-mailu s přílohou ve formátu PDF, jejíž přečtení vedlo k využití bezpečnostní díry. Útok je o to horší, že e-mail byl podvodně digitálně podepsán missourskou družstevní záložnou Vantage. Společnost VeriSign už odstranila certifikát této záložny ze seznamu důvěryhodných.
Podstata chyby spočívá v špatném ošetření práce s nulou ukončeným řetězcem. Je-li v PDF podstrčen neukončený řetězec, program spadne a může dojít k spuštění útočníkova kódu. Chyba samotná je ve verzích pro všechny podporované operační systémy (Mac OS X, Microsoft Windows, Linux a Solaris).
Informace o zneužití už jsou zapracovány do systému Metasploit a jeho tvůrce podotkl, že kompromitovat počítače se systémy Microsoft Windows může pouhé nahlédnutí do dobře připraveného PDF dokumentu. Firma Adobe varovala své uživatele už minulé úterý, ale k varování nepřidala žádnou radu, jak se bránit, ani neprozradila, kdy vydá opravenou verzi. Bezpečnostní odborník Chet Wisniewski doporučuje vypnutí interpretu JavaScriptu v prohlížečích Adobe jakožto částečnou ochranu, jiní odborníci doporučují zkrátka prohlížet soubory typu PDF v prohlížečích vyrobených někým jiným.
Zdroje
[editovat]Tato zpráva byla založena zčásti nebo zcela překladem zprávy Adobe PDF zero-day exploit discovered na anglických Wikizprávách.
- PDF soubory opět vystavují Windows vážnému riziku, varují experti. computerworld.cz [online]. 2010-09-12 [cit. 2010-09-14]. Dostupné z: [1].
- Security Advisory for Adobe Reader and Acrobat: APSA10-02 [online]. Adobe, 2010-09-08, [cit. 2010-09-14]. Dostupné online. (anglicky)
- 8. září 2010
- 8. září
- Monitoring:Citace elektronického periodika/periodikum/computerworld.cz
- Monitoring:Citace elektronického periodika/odkaz na periodikum/
- Monitoring:Citace elektronického periodika/datum aktualizace/
- Monitoring:Citace elektronického periodika/jazyk/česky
- Monitoring:Citace elektronické monografie/jazyk/anglicky
- Software
- Kriminalita