Adobe今天表示,它将在周四修补Reader的一个关键漏洞。
两周前,Adobe承诺将在8月16日的那一周内通过紧急情况修复该漏洞“带外”安全更新,但没有指定具体日期。
Computerworld认为可能的发布日期是8月17日,这是基于Adobe过去在周二发布许多安全更新的惯例。
在上个月的黑帽安全会议上,研究人员查理·米勒(Charlie Miller)在演示如何使用开源BitBlaze工具包时,披露了Adobe计划修补的漏洞提高找出bug生产率.
米勒是巴尔的摩独立安全评估公司(Independent Security Evaluators)的一名分析师,他因能在Adobe流行的Reader PDF浏览器中找到漏洞而闻名。去年3月,米勒展示了一个简单的模糊工具如何能够根除Reader和其他软件中的大量潜在错误。
米勒表示,该漏洞存在于Reader和Acrobat的字体解析中,但与被黑客利用的PDF字体解析漏洞无关苹果的iOS 4本月早些时候。苹果打补丁的字体漏洞。
周二,米勒表示,在他在黑帽大会上透露之前,Adobe就已经知道Reader和Acrobat中的字体漏洞。
“显然@taviso之前向Adobe报告了我在BH发布的Reader 0-day,”米勒在推特上说.“哈哈,毁了他试图负责任的努力。”
米勒提到的"塔维索"是指塔维斯·奥曼迪谷歌他是一名安全工程师,今年夏天,他在向微软报告一个关键的Windows漏洞几天后,就披露了该漏洞,引发了争议微软.
那场辩论的结果是谷歌和微软提出的改变漏洞研究人员如何报告漏洞以及供应商如何对报告作出反应,以“全面披露”和“负责披露”为中心,这是两个相互竞争的漏洞报告哲学。
米勒在回答后续问题时表示,Adobe告诉他,Ormandy在黑帽之前就报告了这个漏洞。
Adobe表示,周四的带外更新将包括修复米勒发现的漏洞之外的其他漏洞。该公司还将在10月12日发布Reader和Acrobat的下一个定期季度更新。
过去,Adobe会在发布紧急补丁时推迟季度更新。
Adobe将发布安全公告包括周四某个时间在其网站上更新的Reader和Acrobat的链接。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在推特上关注格雷格或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@ix.netcom.com.
阅读更多关于应用程序安全的信息在Computerworld的应用程序安全主题中心。
这篇题为“Adobe将于周四修补Reader零日漏洞”的文章最初是由《计算机世界》 .