Adobe opraví vážnou bezpečnostní chybu v Readeru až v lednu

Adam Štrauch 18. 12. 2009

Před pár dny byla objevena bezpečnostní chybu v Adobe Acrobat Readeru. Ta umožňuje pouhým otevřením PDF souboru spustit jakýkoli kód. Takové chyby se v programech nalézají každý den, ale většinou jsou opraveny ještě než se vůbec zveřejní. Adobe na to jde jinak a opravu této chyby nechává na běžné tříměsíční vydání, konkrétně na 12. ledna 2010. Podobných neuzavřených chyb najdeme více i jinde, ale o této se bohužel pro Adobe v poslední době hodně mluví. Pro uživatele Linuxu a Mac OS X byl uvolněn návod, jak se dá postižená funkce zakázat.

Našli jste v článku chybu?
_r3450n_
_r3450n_ (neregistrovaný) 165.72.200.---
18. 12. 2009 14:20 Nový

Preklep

celé vlákno

„Před pár dny byla objevena bezpečnostní chybu“.

BitWizard
BitWizard (neregistrovaný) ---.org.all.de
18. 12. 2009 15:48 Nový

Re: Preklep

celé vlákno

Do té doby si tu jejich binárku patchuji sám…jejich postoj je výsměch všem, kdo se
zabývají bezpečností…

JardaP . aura:24
18. 12. 2009 15:54 Nový

Re: Adobe opraví vážnou bezpečnostní chybu v Readeru až v lednu

celé vlákno

To je fofr, jak u Microsoftu.

_r3450n_
_r3450n_ (neregistrovaný) 165.72.200.---
18. 12. 2009 16:03 Nový

Re: Adobe opraví vážnou bezpečnostní chybu v Readeru až v lednu

celé vlákno

lol (text musi byt dlouhy aspon 4 znaky)

H0ax
H0ax (neregistrovaný) ---.karneval.cz
18. 12. 2009 17:19 Nový

Re: Adobe opraví vážnou bezpečnostní chybu v Readeru až v lednu

celé vlákno

rofl

ertuerturt
ertuerturt (neregistrovaný) ---.bochemie.cz
19. 12. 2009 15:09 Nový

Re: Adobe opraví vážnou bezpečnostní chybu v Readeru až v lednu

celé vlákno

n e

hawran diskuse aura:61
19. 12. 2009 16:46 Nový
Zlatý podporovatel

Re: Adobe opraví vážnou bezpečnostní chybu v Readeru až v lednu

celé vlákno

není kam spěchat

Petr Mejzlík aura:57

řešení pro windows

Pod tím odkazem byl uvolněn návod je kromě návodu pro Linux a MacOSX ke stažení i oprava pro Windows, která nebezpečnou funkci zakáže. (pozn.: bohužel to přidá záznam do HKEY_CURRENT_USER, takže je potřeba to spustit pro každého uživatele zvlášť)

V článku by tahle informace neměla chybět.

Coraxus
Coraxus (neregistrovaný) ---.surfuj.net
20. 12. 2009 12:44 Nový

Jak je to vůbec možné ???

celé vlákno

Co to je vůbec za magorovinu, že důsledkem chyby při otevírání souboru je jeho SPUŠTĚNÍ ??? Kterej idiot mohl něco takového vytvořit, ať už v OS, nebo v aplikaci, nebo kde ???
Říkejte si, že jsem staromódní, ale když my jsme programovali, tak se data otevírala jako DATA, a teprve náš program s nimi nějak naložil – žádné „spuštění dat omylem“ prostě nastat NEMOHLO – protože bychom to tam museli naprogramovat MY…
Zkrátka a dobře, jestli je možné spustit kód důsledkem chyby, tak takový OS nebo taková aplikace, nebo knihovna nemá právo na existenci!

Bilbo
Bilbo (neregistrovaný) ---.static.adsl.vol.cz
20. 12. 2009 13:13 Nový

Re: Jak je to vůbec možné ???

celé vlákno

Je to mozne. V minulosti se objevil podobny problem tusim i u JPEG souboru, ktere v sobe zadny kod obsahovat nemuzou – ale diky chybe v jedne knihovne pri dodani „spravnym zpusobem“ zmrseneho JPEGu se proste pri jeho nacitani kod tam vlozeny spustil (nevim presne co tam bylo, asi nejaky bufer overflow ktery prepsal navratovou adresu na stacku a bylo :). pochopitelne to fungovalo jen na tom jednom vadnem softwaru, v jinych to proste jen oznamilo spatny JPEG a nic :)

.
. (neregistrovaný) ---.cust.selfnet.cz
22. 12. 2009 17:51 Nový

Re: Jak je to vůbec možné ???

celé vlákno

> Říkejte si, že jsem staromódní, ale když my jsme programovali, tak se data otevírala jako DATA, a teprve náš program s nimi nějak naložil – žádné „spuštění dat omylem“ prostě nastat NEMOHLO – protože bychom to tam museli naprogramovat MY

S velkou pravěpodobností to nastat mohlo a pár takových chyb jste i sami napsali (i kdyby to bylo v cobolu).

> Zkrátka a dobře, jestli je možné spustit kód důsledkem chyby, tak takový OS nebo taková aplikace, nebo knihovna nemá právo na existenci!

Jsem přesvědčený, že alespoň několik podobně postižených produktů ke vší spokojenosti používáte.

tomas
tomas (neregistrovaný) ---.i4g.tmcz.cz
20. 12. 2009 19:53 Nový

Nedivím se

Té chybě se ani moc nedivím.

Já osobně mám PDF soubor, který při pokusu o otevření pomocí nejnovějšího Adobe Readeru (spuštěného pod účtem obyčejného uživatele) spolehlivě pošle Windows Vista do modré smrti. Neptejte se mě, jak je to vůbec možné.

Ten soubor přitom není nijak specielně připravený jako exploit, je to normální dokument a v xpdf+cygwin ho lze otevřít.

přezdívka
přezdívka (neregistrovaný) ---.mukyjov.cz
22. 12. 2009 11:40 Nový

Re: Adobe opraví vážnou bezpečnostní chybu v Readeru až v lednu

Ale vždyť je nechte chudáky aspoň přes ty svátky trochu vydechnout. Asi to taky zabalím v práci a příjdu až někdy v polovině ledna. Není kam spěchat, uživatelé počkají.

Zasílat nově přidané příspěvky e-mailem
Lupa.cz: Vlhký sen vnitra se splnil: vznikl státní podnik pro IT

Vlhký sen vnitra se splnil: vznikl státní podnik pro IT

Lupa.cz: Twitter plánuje zapnout nové řazení tweetů

Twitter plánuje zapnout nové řazení tweetů

Měšec.cz: Nové tarify? Výsměch všem šetřílkům

Nové tarify? Výsměch všem šetřílkům

Podnikatel.cz: Není jim to, tak to vrátí. Víme, jak na ně

Není jim to, tak to vrátí. Víme, jak na ně

120na80.cz: Střevní chřipka řádí. Co s ní?

Střevní chřipka řádí. Co s ní?

Lupa.cz: Osmý plán na stavbu rychlých sítí je nedodělek

Osmý plán na stavbu rychlých sítí je nedodělek

Lupa.cz: Většině vašich přátel z Facebooku jste ukradení

Většině vašich přátel z Facebooku jste ukradení

Podnikatel.cz: Legální fotka za cenu kávy. Na to máte, ne?

Legální fotka za cenu kávy. Na to máte, ne?

Měšec.cz: Vše o dani z nemovitých věcí

Vše o dani z nemovitých věcí

Měšec.cz: Braňte se zdražování elektřiny. Pošlete úřadu svůj názor

Braňte se zdražování elektřiny. Pošlete úřadu svůj názor

Vitalia.cz: Proč si černý kašel cestu zpátky našel

Proč si černý kašel cestu zpátky našel

Vitalia.cz: Ministerstvo: Palmový olej nezakážeme, není důvod

Ministerstvo: Palmový olej nezakážeme, není důvod

Měšec.cz: Z daňového bonusu sociální dávka?

Z daňového bonusu sociální dávka?

Vitalia.cz: Fuck you, rakovino

Fuck you, rakovino

Měšec.cz: Katalogoví šmejdi. Oberou vás o 30 tisíc a legálně.

Katalogoví šmejdi. Oberou vás o 30 tisíc a legálně.

Root.cz: EU chce zrušit anonymní platby

EU chce zrušit anonymní platby

Vitalia.cz: Čínská medicína: Citron při chřipce ne

Čínská medicína: Citron při chřipce ne

Lupa.cz: Google navádí, jak krást fotky, stěžuje si ČTK

Google navádí, jak krást fotky, stěžuje si ČTK

Vitalia.cz: Pozor na potraviny s atropinem

Pozor na potraviny s atropinem

Lupa.cz: Jak na wifi zdarma? Praha 11 se spojila s komunitou

Jak na wifi zdarma? Praha 11 se spojila s komunitou

Ušetřete