Nem voltam különösebben elragadtatva a múlt héten agyonhypeolt hírtől, miszerint bizonyos Mikko Hyppönen azt találta mondani az idei RSA konfon, hogy ne használjunk Adobe Readert, mert nem biztonságos. Nem vagyok egy Adobe fanboi vagy ilyesmi, de érzésem szerint a cirkusz ismét amiatt zajlik éppen ekörül a gyártó körül, mert az ő termékét használják a legtöbben.
Minden esetre meg kell hagyni, az Adobe Reader nem fogja elnyerni a minden idők legbiztonságosabb szoftvere címet: újabb javítatlan, kódfuttatásra alkalmat adó sebezhetőséget találtak ugyanis az olvasó 9.1-es és 8.1.4-es változataiban. A problémát most a getAnnots() JavaScript függvény hibája okozza.
Nem tudom ti hogy vagytok vele, de én még böngészés közben sem szívesen futtatok JavaScriptet, PDF olvasás közben meg aztán végképp nem akarom, hogy mindenféle programok futkorásszanak a (virtuális) papírom...ban. Főleg nem olyanok, amiket az adott dokumentum készítője saját kénye-kedve szerint pakolt össze. És ezek az érvek sem győztek meg. NoScriptet a PDF olvasókba, de talán jobb lenne elfelejteni ezt az egész szkriptelgetős marhaságot! Főleg ha nem képesek biztonságosan implementálni.
Frissítés:
Nem egy, hanem rögtön két sebezhetőségről van szó, bár utóbbiról nem sok infót találtam egyelőre, leszámítva a SANS bejelentését, miszerint a bajt a Dictionary funkcióban található puffer túlcsordulást előidéző hiba okozza. További pontosítás, hogy a 7-es széria is érintett, valamint kiemelném, hogy a nyilvánosságra hozott exploit Linuxra lett írva. Az Adobe a JavaScript kikapcsolását javasolja (Szerkesztés(Edit) -> Tulajdonságok(Preferencies) -> JavaScript).
