周二,Adobe在其广受欢迎的Reader PDF浏览器的最新版本中修补了六个漏洞,兑现了2011年底发布旧版本紧急更新的承诺。
这次更新解决了攻击者利用电子邮件发送给大量公司的PDF文件所存在的漏洞,包括美国主要的国防承包商可能是为了窃取机密信息。研究人员在攻击策略和利用代码中发现了线索,表明中国黑客参与了攻击。
虽然Adobe差不多一个月前就在Windows上修补了Reader 9,但它推迟了所有平台上Reader 10的更新,以及Mac和Linux上Reader 9的更新。Adobe表示,由于Reader 10的“沙箱”保护技术,针对该版本的攻击将失败,Mac和Linux用户几乎没有危险,因为攻击者主要针对的是Windows电脑。
周二的更新不仅修复了这两个已知的错误,还修复了另外四个。Adobe公司在一份报告中称,这六家公司都被评为“严重”陪同咨询它们可以为黑客劫持电脑或用恶意软件感染电脑提供必要的机会。
谷歌安全团队、丹麦漏洞追踪公司Secunia和惠普TippingPoint漏洞悬赏计划的研究人员报告了这四个之前未披露的漏洞。
Linux的最新版本是9.4.7,包括针对上个月披露的两个漏洞的补丁。
美国最大的航空航天和国防承包商洛克希德·马丁公司和国防安全信息交换公司(DSIE)已经向Adobe报告了这些已经被利用的漏洞。国防安全信息交换公司是一组共享网络攻击情报的国防承包商。
Adobe还在Reader 9.5和10.1.2(这是周二发布的补丁版本的名称)中添加了新的安全功能,允许公司IT管理员在一些pdf文件中禁用JavaScript,而在另一些文件中允许JavaScript发挥作用。
据Reader集团产品经理Steve Gottwals称,新的“白名单”功能允许管理员关闭所有pdf文件中的JavaScript,除了那些指定为“受信任”的文件。
“如果一个文档是可信的,那么就允许JavaScript执行;但如果它不受信任,adobereader和Acrobat将阻止所有JavaScript的执行博客昨天。“信任的决定是基于特权位置的。”
以前,管理员只能打开或关闭JavaScript。
安全专家周二对这一额外的灵活性表示欢迎。
Qualys的首席技术官Wolfgang Kandek说:“更好的可管理性让你可以关闭[JavaScript],但允许它在来自特定站点的文档上工作,比如组织内部的文档。”“我认为这对企业来说是一个非常有用的功能。”
多年来,JavaScript一直是Reader众多漏洞的源头,也是黑客入侵个人电脑、植入恶意软件和通过恶意pdf窃取信息的常见方式。
例如,Adobe在2010年针对Reader发布的几个紧急补丁都是由于JavaScript漏洞造成的,而早在2008年,一位研究人员就说,Adobe就遭受了一个“流行病”JavaScript错误。
Windows和Mac OS X上的Reader 9.5和Reader 10.1.2都包含了新的JavaScript白名单特性;然而,9.4.7版本的Linux则没有。
读者的更新版本窗户和Mac OS X可以从Adobe的支持网站下载。当前用户可以运行程序的集成更新工具,或者等待软件提示新版本可用。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,或赞同格雷格的RSS提要.他的电子邮件地址是gkeizer@ix.netcom.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇题为“Adobe修补Reader的6个关键漏洞”的文章最初发表于《计算机世界》 .