Обновление для продуктов Adobe не решает проблем безопасности

Исследователь, в очередной раз обнаруживший уязвимости в продуктах Adobe для обработки документов в формате PDF, подтвердил, что выпущенный пакет обновлений не решает проблем безопасности.

В начале прошлой недели пользователи Adobe Reader и Acrobat получили возможность обновить приложения. Пакет исправлений содержал патчи для 17 уязвимостей, включая конструктивный дефект, с помощью которого злоумышленник мог обманным путем заставить пользователя запустить вредоносную программу. По словам Дидье Стивенса (Didier Stevens), бельгийского исследователя, обнаружившего эту ошибку, такая атака могла быть реализована при помощи функции /Launch, предназначенной для запуска встроенных в PDF-документ приложений.

Стивенс также продемонстрировал, как путем нехитрых манипуляций с окном уведомлений Reader можно чужими руками запустить на компьютере жертвы вредоносное приложение, замаскировав его под какую-либо стандартную программу. Эта техника использовалась для массовых заражений систем под управлением Windows по меньшей мере с середины апреля этого года.

Вскоре после выхода пакета обновлений Стивенс заметил, что проблема не решена: "Проверив его, я обнаружил, что для функции /Launch была применена методика черных списков расширений, но для программы cmd.exe в списке тип файла определен как .exe", а не .exe". Это означает, что злоумышленник по-прежнему может произвести удаленный запуск вредоносной программы, заключив имя файла в одинарные или двойные кавычки.

Одновременно с указанием на незакрытую уязвимость Стивенс предложил способ ее самостоятельного исправления, который, однако, подразумевает редактирование реестра Windows – операцию, для большинства пользователей крайне нежелательную.

Представители Adobe Systems признали ненадежность своего решения и обещали учесть находки Стивенса и Ле Ман Тунга (Le Mahn Tung), вьетнамского исследователя, первым обнаружившего неисправленную ошибку. "Методика черных списков сама по себе не является идеальным средством против попыток взломать систему, но она снижает вероятность успешной атаки," – заявил Брэд Аркин (Brad Arkin), возглавляющий отдел защиты информации Adobe.

Выпущенный на прошлой неделе патч отключает функцию /Launch по умолчанию, а также исправляет ошибку в окне уведомлений, предотвращая его модификацию. Последние версии Adobe Reader и Acrobat для платформ Windows, Mac и Linux можно скачать с официального сайта компании либо через встроенные в приложения инструменты обновления.