Az Adobe bejelentette, hogy a termékeihez járó frissítéseket ezen túl három prioritási osztályba fogja sorolni, hogy megkönnyítse a javítások telepítésének tervezését:
- 1-es prioritás: A javítás aktívan kihasznált sérülékenység(ek)et orvosol, telepítésünk amint lehet.
- 2-es prioritás: A javítás egy gyakran célzott termék sérülékenységére vonatkozik, de aktív kihasználásról nem tudni. A Adobe azt tanácsolja, hogy a javítással nem várjunk sokáig.
- 3-as prioritás: A javítás egy eddig nem célzott termékhez készült, az adminisztrátorok belátásuk szerint telepítség a frissítést.
Ahogy a kategóriák leírásából is látszik a lépés mögötti gondolat az, hogy míg a Flash Playert előszeretettel támadják a blackhatek, addig a Photoshophoz leginkább PoC exploitokat látni, hiszen elég macerás megoldani, hogy eljusson egy grafikushoz egy gradiens fájl, amit aztán a kiszemelt áldozat be is tölt, ráadásul jó esetben a támadó ilyenkor legfeljebb a vállalati honlapok sitebuildjeiig jut el a hálózaton.
Nyilván nem egy világmegváltó újítás, de a szándékot értékeljük!
+++
Van viszont nekem is egy történetem: kaptam a minap egy PDF fájlt, egy nagyjából megbízhatónak látszó helyről. Amikor megnyitottam, a linuxomon illetve később a windowsos Foxit Readerben is ilyen kép fogadott:
Azonnal az jutott eszembe, hogy szegény ismerősömet megfertőzte valami Adobe Reader-re specializált, PDF-ben terjedő kártevő, rá is uszítottam a víruskergetőket a fájlra, de nem kaptam pozitív jelzést. No nem mintha ez bármit is jelentene, de azért egy virtuális gépen futó Readerbe már be mertem töltötteni a doksit, és csodák csodája, megkaptam az elvárt anyagot, nem volt semmi huncutság - ez kérem egy Acrobat fícsör!
Hogy miért írok erről? Tegyük fel, hogy a gonosz támadó tényleg egy Adobe Reader exploitot akar a nyakamba varrni, de nem tudja, hogy milyen olvasót használok (vagy egymillió másik helyre is el akarja küldeni az állományt)! Bízva abban, hogy mások tájékozottabbak, mint én, és láttak már ilyen üzenetet, nincs más dolga, mint venni egy ilyen, csak Adobe termékekkel kompatibilis PDF sablont, és abban elhelyezni a kártékony kódot, a felhasználót így a gyári hibaüzenet fogja rávenni a kevésbé biztonságos alternatíva használatára.
(Ahogy az elvárható, a Foxit alapból nem hajlandó megnyitni a linkelt letöltési oldalt, ahonnan elérhető lenne a sandboxolt Reader X. Az egység sugarú júzer magától pedig jó eséllyel az Adobe Reader 9-et fogja beírni a keresőjébe...)
A fenti képen látható dialógus ablak akkor keletkezett, amikor a tartalomjegyzékből próbáltam kiválasztani egy elemet. Az ablak azt javasolja, hogy kapcsoljam ki a Safe Mode mode-ot, úgy talán menni fog a dolog - így a Foxit felhasználók is megszívhatják.