Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
-
30. září 2024
-
4. října 2024
-
14. listopadu 2024
-
11. prosince 2024
Software
Adobe Flash a PDF čelí opět bezpečnostní hrozbě
29. července 2009, 00.00 | Společnost Adobe vydala v minulém týdnu bezpečnostní upozornění, týkající se možností zneužití formátu SWF a potažmo i PDF s Flash obsahem, resp. tedy Flash Playeru 9 či 10 a Adobe Acrobatu/Readeru 9. Jak konkrétně vypadají možná nebezpečí a jak se jim je možné bránit?
V poslední době se stále více objevují hlášení možných bezpečnostních problémů spojených s publikačními technologiemi Flash (resp. SWF/ActionScript) a PDF společnosti Adobe. I když případů konkrétního zneužití nebylo zatím referováno právě mnoho, nebere Adobe odhalení bezpečnostních děr ve svých formátech, resp. příslušných produktech, na lehkou váhu. Před nedávnem takto dokonce začala s vydáváním pravidelných bezpečnostních updatů pro své PDF produkty (v duchu těch, na jaké jsou uživatelé zvyklí například u společnosti Microsoft) a často upozorňuje a reaguje i na bezpečnostní problémy platformy Flash. Není se zde co divit: Flash Player je dnes dle statistik Adobe instalován na prakticky každém počítači a obdobně je tomu i s produkty řady Acrobat pro prohlížení a zpracování PDF dokumentů, zejména Adobe Readerem.
Nejnovější zranitelnost Flash prezentací a aplikací SWF, označenou jako „critical“ (jedná se tedy o nejvyšší stupeň nebezpečnosti podle odpovídající stupnice Adobe), oznámila Adobe v minulém týdnu na základě zjištění společnosti Symantec. Problém se týká Flash Playeru 9.0.5 a 10.22.87 pro všechny podporované platformy (Windows/Mac/Linux) a dále komponenty authplay.dll dodávané s Adobe Readerem a Acrobatem 9.x (Windows/Mac/Linux), která zajišťuje interpretaci SWF obsahu vloženého do PDF dokumentů (připomeňme, že produkty řady Acrobat 9 přinesly významné nové možnosti propojení platforem PDF a Flash).
Zranitelnost může způsobit pád aplikace a případně dovolit útočníkovi, aby převzal kontrolu nad zasaženým systémem. Symantec registroval pokusy o distribuci škodlivého kódu formou SWF objektu vloženého do PDF dokumentu, zneužitou aplikací byl Adobe Reader či Acrobat na platformě Windows. Vzhledem k povaze útoku jsou ale takto možná i zneužití webových stránek s SWF kódem, což představuje potenciálně skutečně velké ohrožení, přičemž atraktivní pro útočníky může být jistě i to, že škodlivý kód lze s pomocí SWF distribuovat na v podstatě všechny operační systémy dneška.
Podle oznámení Adobe by se odpovídající záplata Flash Playeru 9 a 10 pro Windows, Macintosh a Linux měla objevit 30. 7. 2009, datum zveřejnění updatu pro Solaris není dosud známo. Update pro Adobe Reader a Acrobat 9.1.2 na platformách Windows, Macintosh a UNIX má být zveřejněn 31. 7. 2009.
Do uvedení updatu mohou uživatelé Readeru či Acrobatu smazat, přejmenovat či zakázat postiženou komponentu auhplay.dll, tím ale riskují pády aplikace či chybová hlášení ve chvíli, kdy otevřou PDF dokument s SWF obsahem. Na platformě Windows je daná komponenta obvykle umístěna do složky C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll nebo C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll. Uživatelé Windows Vista by měli uvažovat o zprovoznění UAC (User Access Control) pro zmírnění důsledků potenciálního zneužití. Uživatelům Flash Playeru pak Adobe doporučuje vyhýbat se brouzdání v nedůvěryhodných sítích. Adobe je také v kontaktu s výrobci antivirových a bezpečnostních softwarových řešení, kteří by měli dané ohrožení záhy zohlednit v nastaveních svých produktů (antivirové databáze apod.). Další vývoj situace bude monitorován na blogu Adobe Product Security Incident Response Teamu (případně je možný i odběr příslušného RSS kanálu).
Tématické zařazení:
-
14. května 2014
Jak vkládat snímky do galerií a soutěží? Stručný obrazový průvodce
-
23. dubna 2014
Konica Minolta přenesla výhody velkých zařízení do kompaktních modelů
-
12. června 2012
-
9. dubna 2014
-
5. ledna 2017
-
6. září 2004
OKI snižuje ceny barevných laserových tiskáren C3100 a C5200n
-
13. května 2004
-
19. ledna 2004
QuarkXPress Passport 6: předvedení nové verze na konferenci Apple Forum 27.1.2004
-
6. února 2001
-
30. listopadu 2014
Nový fotoaparát α7 II: první plnoformát s pětiosou optickou stabilizací obrazu na světě
-
14. října 2024
-
10. prosince 2024