От Гугъл разкриха информация за уязвимости в Adobe Reader

Двама разработчици от екипа на Гугъл обвиниха Adobe в това, че не са изправили различни уязвимости в Adobe Reader навреме и използват забавянето от страна на компанията, като публикуват подробности за пропуските в сигурността. Двамата също така, препоръчват на хората да избягват Reader докато от Adobe не изправят въпросните уязвимости.

Служителите на Гугъл Матеуш Юрчик (Googlers Mateusz) и Гинвел Колдуинд (Gynvael Coldwind) заявиха, че през юни са съобщили на Adobe за 46 репродуктивни сбоя на Reader. По-рано тази седмица, Adobe пуснаха нови версии на Reader за Уиндоус и OS X, в които бяха оправени само 25 от въпросните критически бъга, които са били съобщени от разработчиците в Гугъл. Версиите за Линукс не получиха обновявания. Юрчик и Колдуинд са разкрили въпросните уязвимости в съответствие с политиката на Гугъл за разкриване на уязвимости и дадоха подробности и за другите уязвимости.

Двамата специалисти са публикували проследяване на стек-трейса на 16 от крашовете, които засягат Windows и OS X. Те обаче не разкриват call-стека нa 20 по-маловажни части от кода, или друга информация, която би могла да се използва от злонамерени хакери.

Политиката на Гугъл е такава, че те дават 60 дни на разработчиците да оправят бъговете, за които са съобщили, след което ги публикуват в публичното пространство, политика, която бе подложена на критика от много специалисти, когато през 2010 година изследователят от Гугъл Тавис Орманди публикува, кода, с който може да се атакува "Центъра за помощ и поддръжка" (Help and Support Center) в Windows XP.

Юрчик и Колдуинд са се надявали Adobe да изправят съобщените бъгове и да издадат ъпдейт за версията на Reader за Линукс, но това явно ще се забави. "Adobe ни съобщиха, че не смятат да излязат с допълнително, непланирано обновление преди 27-ми август, което е 60 дни след разкриването ни на въпросните бъгове", заявяват в съобщението си Юрчик и Колдуинд.

"Въпреки че към днешна дата нямаме данни, че тези уязвимости са били използвани, ние се страхуваме, че биха могли да бъдат създадени напълно функциониращи експлойти посредством сравнение (diffing) на бинарните файлове на стари и току-що пачнати уиндоуски билдове. И тъй като версиите за Линукс остават непачнати, а пачовете за Windows/OS X са на разположение вече за сравнение и обратно инженерство, ние решихме, че е в интерес на нашите потребители да бъдат наясно с тези уязвимости."

В допълнение, те съветват тези от потребителите на Уиндоус, които използват Reader 9.x да обновят приложенията си до Reader X, който е снабден със сендбокс-функция, което прави експлоатирането на тези уязвимости изключително трудно (почти невъзможно). За съжаление, допълват те: "сендбокс-функцията е недостъпна за ползващите най-новите версии на Adobe Reader за OS X или Linux."