Védtelen az Adobe Illustrator
Az Adobe csak jövőre foltozza az Illustrator nemrég napvilágra került nulladik napi sérülékenységét.
Kategóriák: IT-védelem, Biztonság
Szerző: Molnár József
2009. december 08.
Habár az Adobe a mai napon javítja a Flash Player kritikus sérülékenységét, a szoftvercég közlése szerint az egy héttel ezelőtt napvilágot látott Illustrator foltjára nem érkezik javítás. A felhasználóknak így az Adobe következő patch-keddjéig (2010. január 8) kell várniuk a kritikus rés foltozására.
Az Illustrator hibája pedig meglehetősen kritikus, hiszen a kihasználásával a támadók átvehetik a felhasználó gépe felett az irányítást, annak tudta és beleegyezése nélkül. A program sérülékenysége ugyanis lehetőséget ad puffer túlcsordulás (buffer overflow) alapú támadásokra, amely segítségével a támadók túlírhatják a kipécézett változót, s így átvehetik a hatalmat a program felett, a kártékony algoritmusuk lefuttatására kényszerítve azt.
Az Adobe biztonsági közleménye szerint a programozási baki az Illustrator CS4 és CS3 alkalmazásoknál áll fent, amelyek könnyen megfertőzhetőek egy rosszindulatú Encapsulated PostScript (.eps) állománnyal. Mivel a hibára utazó támadókód már elérhető a weben, ezért azt tanácsoljuk, hogy az érintett programok gazdái csak a megbízható forrásból érkező .eps dokumentumokat nyissák meg, amíg a hiba kijavítása meg nem érkezik.