Vær forsiktig med å åpne ukjente PDF-filer i tiden framover. I alle fall i Adobe Reader. (Bilde: Marius Jørgenrud)

Advarer mot Adobe Reader

En rekke sårbarheter blir offentliggjort om kort tid, men ingen ny feilfiks i siktet.

Adobe Reader var tidligere beryktet for sine mange sikkerhetshull og ble dermed en populær angrepsvektor for it-kriminelle. Etter mye negativ omtale tok Adobe omsider grep, noe som førte til en langt forutsigbar og ryddig prosess for utgivelse av sikkerhetsoppdateringer, også til enkelte andre av selskapets produkter.

Nå er det enkelte ting som kan tyde på at selskapet igjen er ute på ville veier.

Google tilbyr en egen PDF-leser i nettleseren Chrome. Denne har relativt nylig blitt gransket av Google Security Team som ved hjelp av fuzzing-teknikker avdekket mer enn 50 mer eller mindre alvorlig sårbarheter. Disse har blitt fjernet gjennom tre av de siste versjonene av nettleseren.

Mateusz “j00ru” Jurczyk og Gynvael Coldwind, to av sikkerhetsekspertene som har vært involvert i dette arbeidet, forteller i et blogginnlegg at sikkerhetsgruppen ved hjelp av de samme verktøyene, noe som blant annet inkluderer et system med mer enn 1500 prosessorkjerner, også har testet den nyeste Linux-utgaven av Adobe Reader, nemlig versjon 9.5.1.

Testingen resulterte i at det til sammen ble oppdaget 60 unike krasjtilfeller, hvorav 31 anses som trivielle å utnytte i angrep.

Google varslet Adobe om disse sårbarhetene i perioden 21. til 27. juni. Tirsdag denne uken kom Adobe med sikkerhetsoppdateringer til Adobe Reader, men bare til Windows og Mac. Mange av sårbarhetene som er oppdaget av Google, berører også disse utgavene. En rekke av disse blir fjernet med disse oppdateringene, men fortsatt gjenstår til sammen 16 unike krasjtilfeller.

Det skal komme en sikkerhetsoppdatering også til Linux, men det er uvisst når.

Problemet nå, ifølge Jurczyk og Coldwin, er at sikkerhetsoppdateringene til Windows- og Mac-utgavene av Adobe Reader gjør det enklere for ondsinnede å finne fram til sårbarheter i Linux-versjonen. Dette skyldes at det uten stor anstrengelser kan være mulig å se hva som har blitt endret i sikkerhetsoppdateringene som allerede har blitt gitt ut, for så å lage angrepskode som utnytter dette i Linux-versjonen hvor sårbarhetene fortsatt finnes.

De Google-ansatte sikkerhetsekspertene mener at brukere av Adobe Reader, spesielt Linux-versjonen, nå er utsatt for alvorlig risiko.

Google har en policy om å gå ut med alle detaljene om sårbarheter selskapet finner når det har gått 60 dager etter at den berørte leverandøren har blitt varslet. Google har til hensikt å gjøre dette også nå, det vil om halvannen uke. Dette skal Adobe ha blitt kjent med allerede i slutten av juni. Ifølge Jurczyk og Coldwin har Adobe fortalt at det har ingen planer om å komme med noen nye sikkerhetsoppdateringer til Adobe Reader innen den tid.

To av sikkerhetshullene i Linux-versjonen kan brukerne motarbeide selv ved å fjerne to ulike plugin-filer. Detaljer om dette finnes i dette blogginnlegget.

    Les også:

Til toppen