Adobe Reader i Adobe Flash uboższy o 42 luki bezpieczeństwa

Wczoraj Adobe wydał poprawki dla 29 luk w zabezpieczeniach dla programu Adobe Reader oraz 13 poprawek dla programu Flash w ramach kwartalnego łatania swoich produktów.

Prawie wszystkie błędy załatane w programie Adobe były oznaczone jako krytyczne, co oznaczało, że była możliwa zdalna instalacja złośliwego oprogramowania na niezałatanym systemie. Dwa z błędów pozwalały na przeprowadzenie ataku XSS (cross-site scripting). Jeden błąd dotyczył tylko i wyłącznie systemu Windows. Prawie połowa błędów dotyczyła kodu parsowania czcionki, zdjęć i grafiki 3D.

Zaktualizowane wersje programu Adobe Reader to 8.2.6, 9.4.2 oraz 10.0.1 dla systemów Windows oraz Mac OS X. Niestety użytkownicy systemów z rodziny Linux muszą poczekać do 28 lutego na wydanie wersji dla ich systemów.

Należy pamiętać o tym, że Adobe Reader X jest wyposażony w mechanizm sandbox, który skutecznie izoluje wszelkie zagrożenia będące efektem luk w zabezpieczeniach programu od systemu, na którym program pracuje. Adobe podkreśla, że żadna z 26 luk dotyczących Reader X nie umożliwia obejścia zabezpieczeń sandbox.

Flash dzięki aktualizacji zyskał numer 10.2.152.26. W wersji tej wyeliminowano 13 luk w zabezpieczeniach oznaczonych jako krytyczne, co oznacza, że każda z nich umożliwiała zdalne wykonanie złośliwego kodu. 8 luk mogło powodować uszkodzenie pamięci, a pozostałe były związane z ładowanymi bibliotekami, przekroczeniem zakresu liczb całkowitych oraz błędem parsowania czcionki.

Równocześnie z produktami Adobe Reader i Adobe Flash zaktualizowano platformę ColdFusion oraz odtwarzacz Shockwave. Dla wielu taka grupowa aktualizacja okazała się dużym zaskoczeniem, ponieważ w historii Adobe jest to sytuacja wyjątkowa. Rzecznik korporacji wyjaśnił, że Adobe stara się, aby wtorek stał się dniem aktualizacji dla wszystkich produktów. Póki co jednak nie gwarantuje, że tak już będzie zawsze.

Zaktualizowane produkty Adobe można pobrać tutaj.