Xakep #305. Многошаговые SQL-инъекции
Владимир Каталов, президент российской
компании "Элкомсофт", опубликовал на
сайте SecurityFocus отчет,
в котором утверждает, что компания Adobe так и
не залатала уязвимости в собственном
программном обеспечении, обнаруженные "Элкомсофтом"
два года назад. "В начале 2001 года мы нашли
серьезную уязвимость в программных
продуктах Adobe Acrobat и Adobe Acrobat Reader, - пишет
Каталов. - В июле 2001 г. уязвимости были
описаны в докладе "Безопасность
электронных книг: теория и практика",
представленном на конференции DefCon. C тех пор
от Adobe не поступило никакой реакции".
Через год, в сентябре 2002 года, "Элкомсофт"
сообщила об этой уязвимости в
координационный центр CERT, по-прежнему не
публикуя информацию о дыре в системе
безопасности. Только в марте 2003 года
информация об уязвимости была опубликована
в CERT. Через неделю после публикации Adobe
впервые отреагировала на эту информацию,
пообещав решить проблему в новых версиях
Acrobat и Adobe Reader. Недавно новые версии были
выпущены, однако анализ специалистов "Элкомсофт"
показал, что хотя некоторые изменения к
лучшему и произошли, сама защита в
продуктах Adobe по-прежнему весьма уязвима.
Одна из уязвимостей позволяет подключать
к Adobe Acrobat Reader плагины, не подписанные
цифровой подписью компании Adobe. В таком
плагине может содержаться любой
исполняемый код, с помощью которого можно
производить действия с файлами, получать
доступ к системному реестру и так далее.
По данным "Элкомсофт", уязвимость
присутствует в Adobe Acrobat Reader 4.x и более
поздних. В том числе и последняя версия
программы - Adobe Reader 6.0 - подвержена данной
уязвимости.
В декабре прошлого года компания "Элкомсофт"
была оправдана американским судом.
Российский производитель программного
обеспечения обвинялся в нарушении закона о
защите авторских прав в цифровую эпоху (DMCA).
В 2001 году "Элкомсофт" выпустила
программу "Advanced eBook Processor", которая
снимала ограничение на распространение
защищенных электронных книг, пользуясь
уязвимостью в ПО Adobe. По требованию Adobe 16
июля 2001 года был арестован прибывший в США
на конференцию DefCon программист "Элкомсофт"
Дмитрий Скляров. В июле 2001 года Adobe отозвала
свой иск к "Элкомсофт", однако
расследование было продолжено
американскими властями.