О чем молчит Adobe, выпуская обновления

Лишь спустя две недели стало известно, с какими таинственными обстоятельствами связан выпуск патчей для продуктов компании Adobe. 10 марта вышли обновления для приложений Reader и Acrobat, которые содержали исправления для пяти критических ошибок, однако представители Adobe Systems предупреждали о наличии лишь одной уязвимости. Еще раньше, в ноябре 2008 года, была исправлена еще одна ошибка. Она затрагивала лишь Unix-версии программ Adobe, но и о ней руководство компании предпочло умолчать.

Согласно бюллетеню безопасности, обновления для приложений Reader 9 и Acrobat 9 исправили пять ошибок обработки сжатых изображений в формате JBIG2, хотя представители компании сообщили только об одной. Эта уязвимость была обнаружена злоумышленниками не позднее начала января, когда по электронной почте начались рассылки сообщений с прикрепленными PDF-файлами, содержащими вредоносный код.

На сей раз компании Adobe пришлось решать вопрос о том, поможет ли публикация сведений об этих ошибках обеспечить безопасность информации пользователей. Принять решение о сокрытии информации руководство компании было вынуждено по нескольким причинам. Во-первых, патчи для 9 версии программ для Windows и Mac OS X появились раньше, чем для 8, а для 7 версии они еще не вышли. Во-вторых, новые версии программ, Acrobat 9.1 и Reader 9.1, в которых эти ошибки уже исправлены, были выпущены лишь 17 марта и 25 марта соответственно. То же самое относится и к версиям для Unix, появившимся лишь 24 марта.

Поскольку большая часть пользователей нуждалась в обновлениях 9 версии для Windows и Mac, специалисты Adobe решили выпускать патчи поэтапно. Это привело к тому, что, хотя критические ошибки, наличие которых могло привести к несанкционированному исполнению вредоносного кода, были обнаружены 24 февраля, об их существовании не сообщали до тех пор, пока не был выпущен последний патч.

Последняя, шестая, уязвимость была исправлена в Unix-версиях Reader 8.1.3 и Acrobat 8.1.3 еще в конце ноября прошлого года, но известно о ней стало лишь вчера. На других платформах этой ошибки не оказалось.

По мнению Эндрю Стормса (Andrew Storms), директора по вопросам безопасности компании nCircle Network Security, было бы весьма желательно, чтобы руководство Adobe оповещало своих пользователей о том, что происходит с продукцией компании.

В настоящий момент пользователи, обновившие свои программы 10 и 17 марта, могут быть не беспокоиться о сохранности своих данных.