Инженеры Google в области безопасности данных обвиняют Adobe в неспособности быстро устранять различные уязвимости в своих продуктах даже после того, как информация о проблемах становиться доступной публично. Инженеры компании говорят, что лично они не рекомендуют пользоваться такими продуктами, как Adobe Reader при обнаружении в них проблем до тех пор, пока Adobe не выпустит соответствующее исправление.
Матеуш Юрцук и Гинваэл Колдвинд говорит, что они еще в июне передали в Adobe данные о 46 случаях сбоев в работе Reader, тем не менее ранее на этой неделе Adobe выпустила новую версию Reader для Windows и Mac OS, где ликвидированы лишь половина проблемных моментов, а версия для Linux вообще не была обновлена. В соответствии с собственной политикой обновлений, Google обнародовала некоторые подробности об уязвимостях.
В частности, эксперты обнародовали данные трассировок 16 случаев аварий в работе Reader, затрагивающих Windows и Linux. Все они затрагивают стеки вызовов, скрывая 20 адресов младших разрядов. Также была представлена и другая информация, которая может быть использована хакерами.
Политика Google дает вендорам 60 дней на исправление багов до тех пор, пока компания не обнародует эти сведения публично. 60-дневный лаг был реализован после того, как в 2010 году инженер по безопасности Google Тэвис Орманди опубликовал информацию, позволяющую проводить атаку на Центр справки и поддержки Windows XP.
Юрцук и Колдвинд говорят, что Adobe планирует исправить оставшиеся ошибки в следующем релизе Adobe Reader, который, кстати, затронет и Linux-версию продукта. В их посте также отмечается, что следующий релиз Reader ожидается не ранее сентября, тогда как уже 27 августа будут представлены новые данные о проблемах с системой безопасности Reader.
Источник: CyberSecurity
|