Adobe moet de noodpatch voor het font-lek nog verwerken in zijn Reader-software. Dat duurt nog tot eind deze maand. Tot die tijd is de download van Adobe zelf nog onveilig.
De noodpatch van vorige week dicht een kritiek beveiligingsgat in de PDF-software van Adobe. Het is via dat lek mogelijk om kwaadaardige code uit te voeren op een computer door de gebruiker een speciaal geprepareerd bestand te laten lezen. Dat kan ook via een webbrowser, die het PDF-document dan automatisch opent, bijvoorbeeld als dat staat op een website of is opgenomen in een webpagina.
Wachten
Terwijl de patch met spoed is uitgebracht, voor zowel de huidige (9.3.3) als de vorige (8.2.3) grote (major) Reader-versie, heeft Adobe die update zelf nog niet doorgevoerd. Gebruikers die de PDF-leessoftware nu downloaden, krijgen daarmee de oudere versie (9.3.3) binnen en niet de bijgewerkt versie (9.3.4).
De optie op Adobe's website 'De recentste versie ophalen' is dus nog niet bijgewerkt. De softwareproducent meldt dat dit op 31 augustus gebeurt. Dit geldt voor alle uitvoeringen van die software; voor Windows, Mac OS X en Unix (wat neerkomt op Solaris en Linux).
Half-automatische updater
De veelgeplaagde software van Adobe is sinds enkele maanden wel voorzien van een automatische update-tool. Die installeert de update echter niet meteen na installatie van de verouderde Reader. Ook een reeds geïnstalleerde Reader bij Webwereld merkt nu pas de noodpatch van 19 augustus op, en biedt die aan ter installatie.
De automatische updater van Adobe is lange tijd in de maak geweest en na uitstel in april dit jaar echt uitgebracht. De standaardinstelling is updates te downloaden, maar niet gelijk te installeren. Windows-gebruikers kunnen die instelling wijzigen om ook automatisch te installeren. Op Mac OS X is er geen keuze voor volautomatisch updaten. Voorheen moesten Reader-gebruikers op alle platformen de applicatie handmatig laten kijken of er updates zijn, en die dan downloaden en installeren.
Weer Google-ontdekker
Overigens is dit lek oorspronkelijk ontdekt door security-onderzoeker Tavis Ormandy van Google. Adobe bedankt hem in de release notes bij de noodpatch van vorige week. Het beveiligingslek is bekend geworden door een presentatie van de bekende hacker Charlie Miller op security-conferentie Black Hat 2010.
Miller heeft daarbij bewust geen details onthuld. Uit de dankbetuiging van Adobe blijkt dat Ormandy de kwetsbaarheid eerder heeft ontdekt, en gemeld aan het bedrijf. Die security-expert heeft inmiddels een indrukwekkende staat van dienst wat betreft het ontdekken van diepgaande en ook antieke lekken in Windows maar ook in de kernel van Linux.
Bron:Webwereld.nl