周二,Adobe公司为其Reader应用软件发布安全补丁,这也是今年以来第五次发布这样的补丁。据报道,这次发布的是针对8个已发现的安全漏洞补丁,其中包括该公司5个多月前发现的一个漏洞。
在五月下旬,核心安全技术研究人员就发现,Adobe Reader和Adobe Acrobat存在一个很严重的漏洞。这两款应用软件都支持PDF文件格式,不同的是前者为免费软件,而后者则为收费产品。该漏洞会危及到Windows、Mac和Linux早期版本的电脑用户,黑客可以通过漏洞发动攻击代码。
核心安全机构在周二表示,8.1.2版本的Acrobat和Reader都存在漏洞。在今年6月发布的最新版本Acrobat 9和 Reader 9则可以幸免。
他们表示,攻击者可以利用某些PDF文件的缓冲区溢出漏洞进行攻击。
而Reader 8.1.2本身就容易促成很多漏洞,其中有些漏洞在今年2月Adobe发布更新之前,就在网络上大肆泛滥。之后在6月,Adobe为另外一个漏洞发布了更新,才升级到8.1.2版本。在Adobe做出反应之前,该漏洞也被黑客大为利用。
当时,曾经有安全专家抨击Adobe,称存在Reader和Acrobat中的JavaScript漏洞为“流行病”。
周二,由核心安全机构透露出来的漏洞其实也涉及到了JavaScript。他们表示,”该漏洞出现的原因是,当解析JavaScript函数字符串‘util.printf()'中包含的浮点运算符时会出现边界错误”。
其实,当核心安全机构在审查早些时候报道的Foxit Reader中的漏洞的时候,就已经披露了这个漏洞。虽然该漏洞对于Adobe应用软件来说不存在危害,但是在后来进一步的审查中,他们发现了第二个漏洞,而这个漏洞却是可以被用来攻击系统的,存在极大的安全风险。
在5月20号,核心安全机构把这些发现报告给了Adobe,但是直到现在,Adobe才发布这两个补丁和相关支持体系的安全公告。
具有讽刺意义的是,当Foxit能够在发现漏洞后的一个月内发布补丁的时候,Adobe却花上了近5倍这样多的时间来为其Reader和Acrobat修补漏洞。核心安全技术公司的首席执行官Ivan Arce,也拒绝对Adobe花费这么长时间修复漏洞发表任何看法,他仅仅指出,Adobe在本周二修复了8个安全漏洞。
至于Adobe频繁地发布安全补丁,特别是修补JavaScript相关的漏洞,Acre也无从知晓。他仅在周二表示说,
“Reader十分强大,它具有很多功能”,“大型而又复杂的软件会比那些小巧的软件更容易出现漏洞”。
在他们发表上述观点后不久,Adobe紧随其后。Adobe发布了升级到Reader 8.1.3和Acrobat 8.1.3的链接,其中包括有对其他7个安全漏洞补丁的简短描述(链接网址:http://www.adobe.com/support /security/bulletins/apsb08-19.html)。
Adobe还表示,它们还没有收到针对这8个安全漏洞进行的攻击报告,虽然核心安全公司公布了这些漏洞。
而使用Adobe Reader 9或者Acrobat 9的用户大可不必担心,这些用户不需要采取任何措施防范这些漏洞。