Компания Adobe признала, что некоторые пользователи, загрузившие с ее сайта
устаревшую версию Reader, могут быть уязвимы к атакам, а также сообщила о том,
что в настоящее время пересматривает систему обновлений для этого популярного
PDF-приложения.
Вчера директор по безопасности продуктов Adobe Брэд Аркин ответил на запрос
компании Secunia, признав, что доступная сейчас для скачивания версия Reader
полна багов, и что установившие ее пользователи подвержены риску атаки на
протяжении дней и даже недель.
По словам Аркина, релизы с одной точкой, такие как Reader 9.1, выпускаются в
виде полных установочных пакетов, в то время как обновления с двумя точками
(например, 9.1.1 и 9.1.2) выходят в виде патчей, для работы которых требуется
наличие уже установленной программы. Релизы с одной точкой требуют
продолжительного тестирования, поэтому выпуск обновлений в виде патчей позволяет
быстрее закрывать выявленные в безопасности бреши.
Проблема, однако, заключается в том, что пользователи загружают с сайта Adobe
полный непропатченный инсталлятор. К примеру, после выхода Reader 9.1 компания
уже два раза выпускала для него патчи – первый, вышедший 12 мая, закрыл одну
0day уязвимость, а второй (он вышел 9 июня) устранил целых 13 дыр.
При этом Reader умеет обновляться автоматически и при первом запуске
программы она должна загружать из Сети последние патчи. К сожалению, системе
обновления далеко не всегда удается сделать это, а установленный по умолчанию
срок последующих проверок на наличие новых версий равен одной неделе. Таким
образом, пользователи остаются подверженными различным уязвимостям на протяжении
нескольких дней и даже недель.
В связи с этим Abode планирует поменять режим проверки обновлений. В
настоящее время Reader проверяет их доступность еженедельно, причем единственной
возможной опцией для изменения этого режима является интервал в один месяц. Как
именно поменяется данная ситуация, Аркин не уточнил.
