Soron kívüli hibajavítást adott ki az Adobe

Az Adobe a Reader, illetve az Acrobat alkalmazásaihoz legutóbb október elején adott ki egy frissítést, amivel összesen 23 sebezhetőséget szüntetett meg. Akkor még arra lehetett számítani, hogy a következő hibajavítás már csak jövőre jelenik meg, ugyanis a cég a PDF-kezelő szoftvereinek esetében negyedéves frissítési ciklust alkalmaz. Azonban az élet közbeszólt: néhány hete egy súlyos biztonsági résre derült fény, amelyet nem sokkal később egy másik is követett. Ezért az Adobe úgy határozott, hogy soron kívül javítja ki a sérülékenységeket.

A most befoltozott biztonsági rések közül az egyik tulajdonképpen a Flash-kezelést érinti. A hiba az úgynevezett Authplay (authoplay.dll) összetevőben található, és akkor okozhat problémákat, amikor a felhasználó speciálisan szerkesztett, Flash objektumot is tartalmazó PDF-állományt tekint meg. Ekkor a támadók tetszőleges kódokat futtathatnak le az érintett rendszereken. Az Authplay kapcsán idén már többször kellett foltozgatniuk a fejlesztőknek. Legutóbb nyáron, amikor egy héten belül elérhetővé tették a frissítést a Flash Playerhez, majd két hétre rá a Reader és az Acrobat is megkapta a foltját. Ez a kétlépcsős hibajavítás ezúttal is megvalósult, ugyanis az Adobe november 4-én tette letölthetővé a Flash Player azon verzióját, amely orvosolta az Authplay sebezhetőségét. Most pedig a PDF-kezelő programok is biztonságosabbá váltak. A mostani hiba annyiban különbözik a nyáritól, hogy ezúttal főként a Reader került a támadók célkeresztjébe és nem a Flash Player. Így aztán felmerülhet a kérdés, hogy akkor az Adobe miért a Flash alkalmazásához adott ki először patch-et. Ennek az a magyarázata, hogy az authoplay.dll a Flash Player fejlesztőinek "fennhatósága alá" tartozik, így először nekik kellett megszüntetniük a rendellenességeket. Ezt követően került az új állomány ahhoz a csoporthoz, amely integrálta a javított fájlt, majd tesztelte a Readert és Acrobatot.

A soron kívüli frissítéssel kijavított másik sebezhetőség november elején került napvilágra, és elsősorban a Reader alkalmazás összeomlását idézheti elő. Ez a hiba is speciálisan szerkesztett PDF-dokumentumok megnyitásakor jelent kockázatot.

A két biztonsági rés a Reader, illetve az Acrobat 9.4.1-es verzióinak telepítésével foltozható be. Az új kiadások azonban csak a Windows és a Mac OS X operációs rendszerekhez váltak elérhetővé, a Linux kompatibilis változatra a hónap végéig várni kell. Az Adobe jelezte, hogy a következő, tervezett hibajavításra 2011. február 8-án fog sor kerülni.

A sebezhetőségekkel kapcsolatban további információk az Isidor Biztonsági Központ weboldalain olvashatók.