Adobe skjuler kritisk sikkerhedshul

Kritisk sikkerhedshul i Adobe Reader udnyttes i vidt omfang, men Adobe vil ikke afsløre detaljer om hullet.

Adobes lukkethed omkring den seneste opdatering af deres læseprogram Adobe Reader kritiseres nu åbent af sikkerhedseksperten Peter Kruse fra it-sikkerhedsfirmaet CSIS.

»Adobe har valgt at mørklægge denne sårbarhed, og i al tavshed forsøger de at lappe hullet uden at fortælle offentligheden om problemets alvor. Det gør bestemt ikke problemet mindre, at producenterne ikke forsvarligt informerer om, hvilke sårbarheder de patcher i deres software, når der frigives nye versioner,« siger han til Version2.dk.

Efter Peter Kruses opfattelse bliver lukketheden et problem, for det fjerner den fokus, der ellers burde være omkring opdatering af brugernes it-systemer.

Behøver ikke engang at åbne filen

Adobe frigav for kort tid siden den omtalte opdatering til læseprogrammet Adobe Reader, der er et af de mest udbredte programmer i verden. Men det er langt fra alle systemer, der er opdaterede, og CSIS har inden for de seneste dage set flere eksempler på, hvordan sikkerhedshullet er blevet udnyttet. Blandt andet har det vist sig, at det slet ikke er nødvendigt at åbne PDF-filen, som først antaget ? angrebet kan sættes ind blot ved at indlejre en PDF-fil på en hjemmeside.

CSIS oplyser, at der er eksempler på, hvor PDF-hullet er blevet misbrugt i forbindelse med bannerreklamer på hjemmesider, og anbefaler alle at sørge for at opdatere Adobe Reader med den seneste version 8.1.2.

»Det er meget let at udnytte hullet. Vi har allerede set to forskellige typer exploits og fælles for dem begge er at de er meget lette at lave og tilmed kan omgå de fleste antivirusprogrammer,« siger Peter Kruse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere