Adobe为Reader准备PDF补丁

敦促用户调整Reader以防止不必要的漏洞攻击

高级记者,《计算机世界》 |

Adobe将于周四公布其计划于下周发布的PDF软件补丁,这是其季度安全更新过程的一部分。

在Adobe昨天敦促用户加强Reader和Acrobat的防御之后,即将到来的更新将接踵而至。该公司还表示,可能会针对这一设计缺陷发布补丁,让黑客得以攻击运行可执行代码在Windows PC上从格式不正确的PDF,而无需利用实际的脆弱性

不过,该补丁不太可能在下周发布。

就像微软, Adobe在为其adobereader和adobacrobat程序发布安全更新之前会通知用户,提供基本信息以提醒用户和企业管理员。Adobe将在4月13日(周二)发布Reader和Acrobat补丁,同一天微软也将发布其操作系统和其他软件的更新。

没有公众已知的未修补的安全漏洞根据丹麦漏洞追踪公司Secunia的调查,Adobe Reader和Acrobat的漏洞非常多。因此,下周的任何更新都将解决Adobe自己的安全工程师发现的私下报告的漏洞或漏洞。

但是有一个PDF设计的问题。上周,比利时研究人员迪迪埃·史蒂文斯演示了如何使用PDF规范的“/Launch”功能进行多级攻击,成功利用已打满补丁的Adobe Reader副本。

Stevens的技术不需要Adobe Reader的潜在漏洞,而是依赖于一种社会工程方法来欺骗用户打开恶意的PDF。该PDF文档包含攻击代码,Stevens可以通过使用/Launch函数执行该代码。尽管Reader和Acrobat在启动PDF文件中的可执行文件时显示警告,但Stevens找到了一种方法,部分修改警告,从而进一步诱骗潜在受害者批准该操作。

使用史蒂文斯的策略,黑客将能够利用最新的Adobe Reader副本。

上周,Adobe承认史蒂文斯的策略使用了内置在Reader和Acrobat中的合法功能,并表示正在调查他的说法。当时,该公司拒绝透露是否计划更新软件作为回应。

昨日,Adobe的态度有所软化,表示不排除推出补丁。公司发言人Wiebke Lips说:“我们一直在考虑各种选择。”“有几个选项可能会进一步保护用户。”她说,在这些选项中,有一个安全更新,可以给Reader和Acrobat打补丁。Lips拒绝向Adobe承诺,如果该公司决定开发一个补丁或时间表。

周二早些时候,一位Adobe经理回荡的嘴唇.“我们目前正在研究在adobereader和Acrobat中实现这一功能的最佳方法,我们可以在定期的季度产品更新期间提供这一功能,”集团产品经理Steve Gottwals在公司博客的一篇文章中说。

Gottwals还指出,消费者和企业IT管理员可以通过重新配置Reader和Acrobat来阻止史蒂文斯式的攻击。通过清除程序首选项窗格中标有“允许使用外部应用程序打开非pdf文件附件”的框,用户可以阻止攻击。默认情况下,Reader和Acrobat选中了该框,这意味着允许史蒂文斯利用的行为。

Gotwalls补充说,管理员可以通过对Windows注册表进行修改,迫使用户的Reader和Acrobat副本进入相同的状态。

两周前,一位著名研究人员在安全会议上说,虽然在公共领域没有未打补丁的PDF漏洞,但Adobe确实有工作要做。在那次会议上,他因黑客行为获得了1万美元的奖金苹果Safari浏览器。

据查理·米勒说,他是唯一一个在Pwn2Own比赛中获得三连冠在美国,adobereader至少有三个(可能是四个)未修补的可利用漏洞。

在Pwn2Own主办的同一场安全会议上,米勒向其他人介绍了他用来根除Adobe、苹果、微软和OpenOffice.org产品中的20个漏洞的“哑谜”过程。米勒没有把他发现的漏洞的细节交给这些供应商,而是敦促这些公司通过复制他的方法来自己发现漏洞。

在米勒的调查过程中,他通过fuzzers(对文件格式进行压力测试以发现可能漏洞的自动化工具)运行了300多万份PDF文档,发现了四份他说可以利用的文件。其中至少有一个被他称为“令人讨厌的漏洞”,因为它在一个模糊的文件中造成了30多个崩溃。

虽然Adobe、苹果和微软的代表都出席了CanSecWest会议,米勒在会上展示了他的研究成果,但只有微软在会后找到他,询问如何复制他的成果,米勒说。

推特不过,米勒和Adobe产品安全和隐私主管布拉德·阿金(Brad Arkin)在推特上交换了意见。“你可以说我自负,但只要让我在Reader团队呆上两年,我就能做出一个相当不错的计划,”米勒吹嘘上周在给阿尔金的回信中。

“把你的建议和价格寄给我。如果你有令人信服的计划,我很乐意为你的服务付费。”阿金后来说。

在Twitter上的交流结束后,当被问及他是否认真对待Adobe的挑战,是否会去这家公司工作时,米勒说:“不,我只是说我可以让这个程序变得可靠。他们雇不起我。”

Adobe将于美国东部时间周四下午1点左右发布Reader和Acrobat补丁计划。

Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在推特上关注格雷格@gkeizer或者订阅格雷格的RSS。他的电子邮件地址是gkeizer@ix.netcom.com。

阅读更多关于安全性的信息在计算机世界的安全知识中心。

这篇文章“Adobe为Reader准备PDF补丁”最初是由《计算机世界》

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

资深记者Gregg Keizer为Computerworld报道Windows, Office,苹果/企业,网络浏览器和网络应用。

版权所有©2010 IDG ComRaybet2munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题