Adobe发布八漏洞补丁 称暂无安全报告

来源:岁月联盟 编辑:zhuzhu 时间:2008-11-06
Adobe发布八漏洞补丁 称暂无安全报告 周二,Adobe公司为其Reader应用软件发布安全补丁,这也是今年以来第五次发布这样的补丁。据报道,这次发布的是针对8个已发现的安全漏洞补丁,其中包括该公司5个多月前发现的一个漏洞。

  在五月下旬,核心安全技术研究人员就发现,Adobe Reader和Adobe Acrobat存在一个很严重的漏洞。这两款应用软件都支持PDF文件格式,不同的是前者为免费软件,而后者则为收费产品。该漏洞会危及到Windows、Mac和Linux早期版本的电脑用户,安全可以通过漏洞发动安全代码。

  核心安全机构在周二表示,8.1.2版本的Acrobat和Reader都存在漏洞。在今年6月发布的最新版本Acrobat 9和 Reader 9则可以幸免。

  他们表示,安全者可以利用某些PDF文件的缓冲区溢出漏洞进行安全。

  而Reader 8.1.2本身就容易促成很多漏洞,其中有些漏洞在今年2月Adobe发布更新之前,就在网络上大肆泛滥。之后在6月,Adobe为另外一个漏洞发布了更新,才升级到8.1.2版本。在Adobe做出反应之前,该漏洞也被安全大为利用。

  当时,曾经有安全专家抨击Adobe,称存在Reader和Acrobat中的JavaScript漏洞为“流行病”。

  周二,由核心安全机构透露出来的漏洞其实也涉及到了JavaScript。他们表示,”该漏洞出现的原因是,当解析JavaScript函数字符串‘util.printf()’中包含的浮点运算符时会出现边界错误”。

  其实,当核心安全机构在审查早些时候报道的Foxit Reader中的漏洞的时候,就已经披露了这个漏洞。虽然该漏洞对于Adobe应用软件来说不存在危害,但是在后来进一步的审查中,他们发现了第二个漏洞,而这个漏洞却是可以被用来安全系统的,存在极大的安全风险。

  在5月20号,核心安全机构把这些发现报告给了Adobe,但是直到现在,Adobe才发布这两个补丁和相关支持体系的安全公告。

  具有讽刺意义的是,当Foxit能够在发现漏洞后的一个月内发布补丁的时候,Adobe却花上了近5倍这样多的时间来为其Reader和Acrobat修补漏洞。核心安全技术公司的首席执行官Ivan Arce,也拒绝对Adobe花费这么长时间修复漏洞发表任何看法,他仅仅指出,Adobe在本周二修复了8个安全漏洞。

  至于Adobe频繁地发布安全补丁,特别是修补JavaScript相关的漏洞,Acre也无从知晓。他仅在周二表示说,

  “Reader十分强大,它具有很多功能”,“大型而又复杂的软件会比那些小巧的软件更容易出现漏洞”。

  在他们发表上述观点后不久,Adobe紧随其后。Adobe发布了升级到Reader 8.1.3和Acrobat 8.1.3的链接,其中包括有对其他7个安全漏洞补丁的简短描述(链接网址:http://www.adobe.com/support/security/bulletins/apsb08-19.html)。

  Adobe还表示,它们还没有收到针对这8个安全漏洞进行的安全报告,虽然核心安全公司公布了这些漏洞。

  而使用Adobe Reader 9或者Acrobat 9的用户大可不必担心,这些用户不需要采取任何措施防范这些漏洞。