Před pár dny byla objevena bezpečnostní chybu v Adobe Acrobat Readeru. Ta umožňuje pouhým otevřením PDF souboru spustit jakýkoli kód. Takové chyby se v programech nalézají každý den, ale většinou jsou opraveny ještě než se vůbec zveřejní. Adobe na to jde jinak a opravu této chyby nechává na běžné tříměsíční vydání, konkrétně na 12. ledna 2010. Podobných neuzavřených chyb najdeme více i jinde, ale o této se bohužel pro Adobe v poslední době hodně mluví. Pro uživatele Linuxu a Mac OS X byl uvolněn návod, jak se dá postižená funkce zakázat.
Adobe opraví vážnou bezpečnostní chybu v Readeru až v lednu
18. 12. 2009
13
nových názorů
-
-
Pod tím odkazem byl uvolněn návod je kromě návodu pro Linux a MacOSX ke stažení i oprava pro Windows, která nebezpečnou funkci zakáže. (pozn.: bohužel to přidá záznam do HKEY_CURRENT_USER, takže je potřeba to spustit pro každého uživatele zvlášť)
V článku by tahle informace neměla chybět.
-
Coraxus (neregistrovaný)
Co to je vůbec za magorovinu, že důsledkem chyby při otevírání souboru je jeho SPUŠTĚNÍ ??? Kterej idiot mohl něco takového vytvořit, ať už v OS, nebo v aplikaci, nebo kde ???
Říkejte si, že jsem staromódní, ale když my jsme programovali, tak se data otevírala jako DATA, a teprve náš program s nimi nějak naložil – žádné „spuštění dat omylem“ prostě nastat NEMOHLO – protože bychom to tam museli naprogramovat MY…
Zkrátka a dobře, jestli je možné spustit kód důsledkem chyby, tak takový OS nebo taková aplikace, nebo knihovna nemá právo na existenci! -
Bilbo (neregistrovaný)
Je to mozne. V minulosti se objevil podobny problem tusim i u JPEG souboru, ktere v sobe zadny kod obsahovat nemuzou – ale diky chybe v jedne knihovne pri dodani „spravnym zpusobem“ zmrseneho JPEGu se proste pri jeho nacitani kod tam vlozeny spustil (nevim presne co tam bylo, asi nejaky bufer overflow ktery prepsal navratovou adresu na stacku a bylo :). pochopitelne to fungovalo jen na tom jednom vadnem softwaru, v jinych to proste jen oznamilo spatny JPEG a nic :)
-
. (neregistrovaný)
> Říkejte si, že jsem staromódní, ale když my jsme programovali, tak se data otevírala jako DATA, a teprve náš program s nimi nějak naložil – žádné „spuštění dat omylem“ prostě nastat NEMOHLO – protože bychom to tam museli naprogramovat MY
S velkou pravěpodobností to nastat mohlo a pár takových chyb jste i sami napsali (i kdyby to bylo v cobolu).
> Zkrátka a dobře, jestli je možné spustit kód důsledkem chyby, tak takový OS nebo taková aplikace, nebo knihovna nemá právo na existenci!
Jsem přesvědčený, že alespoň několik podobně postižených produktů ke vší spokojenosti používáte.
-
tomas (neregistrovaný)
Té chybě se ani moc nedivím.
Já osobně mám PDF soubor, který při pokusu o otevření pomocí nejnovějšího Adobe Readeru (spuštěného pod účtem obyčejného uživatele) spolehlivě pošle Windows Vista do modré smrti. Neptejte se mě, jak je to vůbec možné.
Ten soubor přitom není nijak specielně připravený jako exploit, je to normální dokument a v xpdf+cygwin ho lze otevřít.
ČLÁNKY DO MAILU