Adobe признает реальность ошибки, впервые обнаруженной британским исследователем Петко Петковым. Но вместо постоянного исправления своего ПО Adobe Acrobat и бесплатной программы Adobe Reader, компания предлагает временный обходной маневр из нескольких шагов. Он защищает от вредоносных документов PDF, в которых применяется универсальный идентификатор ресурсов (URI) mailto:, чтобы склонить пользователя к загрузке вредоносного кода, но требует редактирования системного реестра Windows. Mailto:, один из наиболее часто используемых URI, запускает клиент электронной почты по умолчанию и открывает в нем сообщение с заранее определенным адресом.
Судя по этому описанию, уязвимость PDF - еще один баг, связанный с управлением протоколом. Такие ошибки активно обсуждаются в кругах специалистов по безопасности с июля, когда норвежский исследователь Тор Лархольм продемонстрировал, как Internet Explorer и Firefox можно использовать для исполнения вредоносного кода при помощи неправильных URI. В прошлую пятницу, когда германский аналитик заявил, что IE7 добавляет в Windows ХР новые баги, споры о том, кто несет ответственность за устранение таких уязвимостей, разгорелись с новой силой.
В частности, Юрген Шмидт из компании Heise Security сослался в списке рассылки на программное обеспечение Adobe - после того как Heise описала на своем веб-сайте пример атаки с использованием URI mailto: для введения вредоносного кода в PDF. «Вероятно, это та же критическая проблема безопасности, о которой недавно сообщал Петко Петков», написал Шмидт в пятницу перед тем, как Adobe опубликовала свои рекомендации. К концу месяца Adobe обещает обновить Adobe Reader 8.1 и Adobe Acrobat 8.1, а также Adobe 3D.
Microsoft, которую критикуют за отказ исправлять уязвимости Windows и Internet Explorer, связанные с управлением протоколами, утверждает, что ответственность за гарантию правильной обработки прикладными программами URI, таких как mailto:, лежит не на ее инженерах, а на разработчиках других приложений. В июле менеджер программы IE Маркеллос Диоринос заявил, что в Windows очень трудно включить проверку возможных злоупотреблений URI.
Пользователям, не желающим применять обходной путь, Adobe, по сути, советует то же, что две недели назад предложил Петков: «Adobe рекомендует заказчикам Acrobat и Reader с осторожностью относиться к непрошенным сообщениям e-mail, в которых пользователю предлагается предпринять какие-то действия вроде открытия вложений или активизации веб-ссылок», - говорится в рекомендации компании.
По словам Adobe, риску подвергаются только пользователи Windows ХР с Internet Explorer 7. Windows Vista, в которой содержится специальная версия IE7, невосприимчива к атакам с использованием mailto:.
Ссылки по теме