Недавний бюллетень по безопасности компании Adobe вызвал, мягко говоря, неоднозначную реакцию среди экспертов и обычных пользователей. Напомним, разработчик программного обеспечения признал наличие критических уязвимостей в Illustrator CS5, Flash Professional CS5, Photoshop CS5 и более ранних версий, а для решения проблемы рекомендовал сделать апгрейд на новую версию. Апгрейд стоит 200 долларов для каждого из этих продуктов.
Эксплойт с переполнением буфера осуществляется через модификацию файла .TIF, заражение компьютера происходит непосредственно при открытии файла .TIF с помощью Photoshop. Уязвимость действительно очень серьёзная, поэтому у публики вызвал естественное возмущение тот факт, что Adobe отказалась выпускать бесплатные патчи для старых версий программы, как это принято делать у всех нормальных разработчиков ПО.
Позже компания пояснила, что такое решение было принято после тщательного анализа рисков. Специалисты Adobe сделали вывод, что вряд ли можно ожидать появления популярных эксплойтов, нацеленных на пользователей Photoshop, которые ещё не сделали апгрейд на последнюю версию графического редактора.
Однако, скандал замять не удалось. Антивирусная компания Sophos назвала это настоящей PR-катастрофой. Новость о «патче за 200 долларов» стала настоящей насмешкой над Adobe и её подходом к безопасности своих продуктов.
Уже наследующий день Adobe пошла на попятную. «Мы решаем вопрос с уязвимостями в Adobe Illustrator CS5.x, Adobe Photoshop CS5.x и Adobe Flash Professional CS5.x и выпустим обновление в соответствующий бюллетень безопасности, как только патчи будут готовы», — сообщает официальный блог Adobe Product Security Incident Response Team.
