Adobe Flash a PDF čelí opět bezpečnostní hrozbě - Grafika.cz - vše o počítačové grafice

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:



Software

Adobe Flash a PDF čelí opět bezpečnostní hrozbě

29. července 2009, 00.00 | Společnost Adobe vydala v minulém týdnu bezpečnostní upozornění, týkající se možností zneužití formátu SWF a potažmo i PDF s Flash obsahem, resp. tedy Flash Playeru 9 či 10 a Adobe Acrobatu/Readeru 9. Jak konkrétně vypadají možná nebezpečí a jak se jim je možné bránit?

V poslední době se stále více objevují hlášení možných bezpečnostních problémů spojených s publikačními technologiemi Flash (resp. SWF/ActionScript) a PDF společnosti Adobe. I když případů konkrétního zneužití nebylo zatím referováno právě mnoho, nebere Adobe odhalení bezpečnostních děr ve svých formátech, resp. příslušných produktech, na lehkou váhu. Před nedávnem takto dokonce začala s vydáváním pravidelných bezpečnostních updatů pro své PDF produkty (v duchu těch, na jaké jsou uživatelé zvyklí například u společnosti Microsoft) a často upozorňuje a reaguje i na bezpečnostní problémy platformy Flash. Není se zde co divit: Flash Player je dnes dle statistik Adobe instalován na prakticky každém počítači a obdobně je tomu i s produkty řady Acrobat pro prohlížení a zpracování PDF dokumentů, zejména Adobe Readerem.

Nejnovější zranitelnost Flash prezentací a aplikací SWF, označenou jako „critical“ (jedná se tedy o nejvyšší stupeň nebezpečnosti podle odpovídající stupnice Adobe), oznámila Adobe v minulém týdnu na základě zjištění společnosti Symantec. Problém se týká Flash Playeru 9.0.5 a 10.22.87 pro všechny podporované platformy (Windows/Mac/Linux) a dále komponenty authplay.dll dodávané s Adobe Readerem a Acrobatem 9.x (Windows/Mac/Linux), která zajišťuje interpretaci SWF obsahu vloženého do PDF dokumentů (připomeňme, že produkty řady Acrobat 9 přinesly významné nové možnosti propojení platforem PDF a Flash).

flashsec1f.jpg

Zranitelnost může způsobit pád aplikace a případně dovolit útočníkovi, aby převzal kontrolu nad zasaženým systémem. Symantec registroval pokusy o distribuci škodlivého kódu formou SWF objektu vloženého do PDF dokumentu, zneužitou aplikací byl Adobe Reader či Acrobat na platformě Windows. Vzhledem k povaze útoku jsou ale takto možná i zneužití webových stránek s SWF kódem, což představuje potenciálně skutečně velké ohrožení, přičemž atraktivní pro útočníky může být jistě i to, že škodlivý kód lze s pomocí SWF distribuovat na v podstatě všechny operační systémy dneška.

Podle oznámení Adobe by se odpovídající záplata Flash Playeru 9 a 10 pro Windows, Macintosh a Linux měla objevit 30. 7. 2009, datum zveřejnění updatu pro Solaris není dosud známo. Update pro Adobe Reader a Acrobat 9.1.2 na platformách Windows, Macintosh a UNIX má být zveřejněn 31. 7. 2009.

Do uvedení updatu mohou uživatelé Readeru či Acrobatu smazat, přejmenovat či zakázat postiženou komponentu auhplay.dll, tím ale riskují pády aplikace či chybová hlášení ve chvíli, kdy otevřou PDF dokument s SWF obsahem. Na platformě Windows je daná komponenta obvykle umístěna do složky C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll nebo C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll. Uživatelé Windows Vista by měli uvažovat o zprovoznění UAC (User Access Control) pro zmírnění důsledků potenciálního zneužití. Uživatelům Flash Playeru pak Adobe doporučuje vyhýbat se brouzdání v nedůvěryhodných sítích. Adobe je také v kontaktu s výrobci antivirových a bezpečnostních softwarových řešení, kteří by měli dané ohrožení záhy zohlednit v nastaveních svých produktů (antivirové databáze apod.). Další vývoj situace bude monitorován na blogu Adobe Product Security Incident Response Teamu (případně je možný i odběr příslušného RSS kanálu).

Tématické zařazení:

 » Rubriky  » VSE  

 » Rubriky  » Go verze  

 » Rubriky  » Webdesign  

 » Rubriky  » PDF - Adobe Acrobat  

 » Rubriky  » Software  

 

 

 

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: