Adobe Scrambles upang Ayusin ang PDF Flaw

Adobe ay naglathala ng bulletin ng seguridad na nagpapahayag ng paparating na update para sa Adobe Reader 9.3.3 para sa Windows, Mac OS X, at UNIX, at Adobe Acrobat para sa Windows at Mac, pati na rin ang bersyon ng Reader at Acrobat 8.2.3 para sa parehong mga platform upang malutas ang ilang mga isyu sa seguridad. Sinabi ng Adobe na "ang mga update na ito ay kumakatawan sa isang out-of-band na paglabas. Kasalukuyang naka-iskedyul ang Adobe na mailabas ang susunod na quarterly update sa seguridad para sa Adobe Reader at Acrobat noong Oktubre 12, 2010."

Inilabas rin ng Microsoft ang out-of-band patch para sa Windows shortcut vulnerability - lamang sa isang linggo na maagang ng nakaplanong mga update sa Patch Martes. Ang mabilis na pag-ikot ng Adobe mula sa pagtuklas ng kahinaan sa patch ay kapuri-puri, ngunit ang pagtaas sa zero-araw na pagsasamantala na pumipilit sa parehong Adobe at Microsoft na madalas na magbigay ng mga update sa labas ng normal na patch release cycle ay nagbabanta upang kontrahin ang mga benepisyo ng pagkakaroon ng regular na naka-iskedyul na patch release system.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang isyu na tinutugunan ng Adobe ay isang kahinaan sa Adobe Reader na ipinakita sa Black Hat ng security researcher na si Charlie Miller. Ang Miller ay gumawa ng isang pangalan para sa kanyang sarili sa pamamagitan ng paulit-ulit na panalong ang Pwn2Own contest sa CanSec West security conference.

Ang isang advisory na Secunia na may kaugnayan sa Adobe flaw ay nagpapaliwanag "Ang kahinaan ay sanhi dahil sa isang error na overflow overflow sa CoolType.dll sa pag-parse ng "maxCompositePoints" field value sa "maxp" (Maximum Profile) na talahanayan ng isang TrueType na font. Maaari itong mapagsamantalahan sa masamang memorya sa pamamagitan ng isang PDF file na naglalaman ng isang espesyal na ginawa na font ng TrueType. "

Summed up sa simpleng Ingles na ang mga admin ng IT at maaaring maunawaan ng mga gumagamit na hindi mga developer, ang Secunia ay nagdaragdag ng "Ang matagumpay na pagsasamantala ay maaaring magpapahintulot sa pagpapatupad ng arbitrary code." Sa ilalim: isang magsasalakay ang maaaring gamitin ang kahinaan ng Adobe Reader upang kontrolin ang isang mahina na sistema at i-install o isakatuparan ang iba pang mga nakakahamak na software.

Kagiliw-giliw, ito ay isang depekto sa paraan ng mga font na nai-render sa mga PDF na dokumento na nagbibigay-daan sa JailbreakMe Web site upang maiwasan ang mga panlaban sa iPhone at baguhin ang pangunahing pag-andar ng smartphone OS. Gayunpaman, ayon kay Miller ang mga depekto ay walang kaugnayan sa isa't isa. Sa kabutihang palad, ang Apple ay mahirap sa pag-update ng iOS upang matugunan ang isyu na iyon.

Mga tagapamahala ng IT na nababahala sa pagiging nakalantad sa mga potensyal na pagsasamantala ng kahinaan na ito habang nakabinbin ang pag-update mula sa Adobe ay maaaring palaging tumingin sa mga alternatibong mga PDF reader tulad ng FoxIt Reader at Nuance PDF Reader.