Adobe发布了一个“超出范围”的更新,以修补其Reader PDF软件中的两个漏洞。
Adobe今天修补了其广受欢迎的Reader PDF浏览软件的两个漏洞,包括上个月在年度黑帽安全会议上公开的一个漏洞。
两周前,Adobe承诺通过紧急或“带外”安全更新来修复黑帽漏洞;本周早些时候今天的组发布日期。
这一漏洞是由研究人员Charlie Miller在7月份拉斯维加斯的黑帽活动上披露的,他在活动中演示了开源BitBlaze工具包如何提高bug查找效率。米勒是总部位于巴尔的摩的独立安全评估公司(Independent Security Evaluators)的分析师,也是一位知名的漏洞研究人员。他说,漏洞存在于Reader和Acrobat的字体解析中。
Adobe在米勒公开之前就知道这个漏洞,然而,另一位研究人员谷歌安全工程师塔维斯·奥曼迪(Tavis Ormandy)此前曾报告过这个漏洞。今天,Adobe将发现这个漏洞的功劳归于Ormandy,而不是Miller。
在周四的咨询在美国,Adobe将Ormandy的漏洞和另一个修补过的漏洞归类为严重漏洞,并指出每个漏洞“都可能导致代码执行”,这意味着攻击者可以利用它们来破坏一台机器。
按照Adobe的做法,它只透露了漏洞的最少量细节。第二个漏洞被描述为“进一步减轻社会工程攻击”。
Adobe没有提到的是,它之前已经修复了这个漏洞。
第一个固定在六月底Adobe最后一次更新Reader和Acrobat时,该bug被标记为cve - 2010 - 1240去年3月,比利时研究人员迪迪埃·史蒂文斯(Didier Stevens)向公众展示了如何使用PDF规范的“/Launch”功能成功利用Reader进行多级攻击。史蒂文斯还展示了如何更改Reader警告以进一步愚弄用户。
黑客使用了史蒂文斯的技术大规模的袭击在Adobe于6月29日发布更新之前的几个月。和今天一样,这次更新是“超出范围”的,已经从预定的7月13日发布日期推迟了。
今天的更新版本9.3.4和8.3.4的Reader和Acrobat也包括在内上周发布的补丁Flash, Adobe的媒体播放器。Reader和Acrobat都包含运行嵌入在PDF文档中的Flash的代码。
适用于Windows、Mac和Linux的adobereader和Acrobat可通过以下链接下载周四的咨询.另外,用户可以使用程序的内置更新机制来获取新版本。
去年四月,Adobe激活了最新版本的Reader和Acrobat中包含的自动更新机制;但是,用户必须手动打开自动更新。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,或赞同格雷格的RSS提要.他的电子邮件地址是gkeizer@ix.netcom.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章,“Adobe快速更新,修补关键的Reader漏洞”最初是由《计算机世界》 .