Adobe автоматизирует процедуру обновления своих продуктов

Второй вторник месяца, 13 апреля, в соответствии с новым расписанием обновлений Adobe станет днем внедрения новой технологии, над которой инженеры компании работали шесть месяцев. Измененная схема применения обновлений безопасности для Adobe Reader и Acrobat станет первой мерой против недавно обнаруженного метода запуска на компьютерах под управлением Windows произвольного кода, встраиваемого в PDF-файлы.

На прошлой неделе исследователь в сфере информационной безопасности Дидье Стивенс (Didier Stevens) описал способ выполнения кода посредством набора команд, несмотря на то, что как приложения Adobe для обработки документов PDF, так и программа Foxit не позволяют запускать исполняемые файлы, встроенные в документ.

Предложенная методика требует применения некоторых приемов социальной инженерии, а приведенная в качестве примера команда запуска, по словам Стива Готтуолса (Steve Gottwals), управляющего группой товаров Adobe, описана в спецификации формата ISO PDF 32000-1:2008, в разделе 12.6.4.5.

"Это отличный пример функциональности, в которой заключены как мощный потенциал, когда ею пользуются одни, так и серьезная опасность, когда к ней прибегают другие," – считает Готтуолс.

Приложения Adobe Reader и Acrobat демонстрируют пользователю предупреждение о том, что открывать следует лишь исполняемые файлы, полученные из надежных источников, но Дидье Стивенсу удалось модифицировать это сообщение таким образом, что пользователь сам запускает необходимый для атаки код. Аналогичное предупреждение для Foxit Reader появилось лишь в версии 3.2.1, а в ближайшем будущем эта уязвимость будет закрыта и в продуктах Adobe.

На следующей неделе выйдут патчи, предназначенные для Adobe Reader 9.3.1 для платформ Windows, Mac OS и Unix, Acrobat 9.3.1 для Windows и Mac, а также Reader 8.2.1 и Acrobat 8.2.1 для Windows и Mac. Новая технология обновления проходила тестирование с 13 октября прошлого года. Благодаря ей пользователь сможет самостоятельно задавать настройки автоматического применения исправлений, при которой скачивание и установка патчей производятся без его вмешательства в момент их выпуска, или полуавтоматического – с запросом разрешения на установку.

"Во время ежеквартального выпуска обновлений 12 января 2010 года, а затем при внеочередном обновлении 16 февраля мы проводили бета-тестирование новой системы с привлечением сторонних участников, что позволило опробовать ее на самых разных конфигурациях сети, – заявляет Готтуолс. – Тестирование прошло успешно, и теперь мы готовы к более широкому применению этого инструмента".

В ожидании патчей пользователи могут снизить риск атаки, отключив опцию в разделе "Trust Manager", позволяющую открывать вложения файлов с помощью внешних приложений. Чтобы рядовой пользователь не смог включить эту функцию, Готтуолс предлагает администраторам внести изменения в реестр Windows.

Эти меры предосторожности могут оказаться совсем не лишними: хотя Стивенс не опубликовал образец кода для атаки, на базе его работы был создан другой эксплоит. Джереми Конуэй (Jeremy Conway), менеджер по продукции компании NitroSecurity, нашел способ распространить вредоносный код по всей системе жертвы через другие PDF-файлы. В качестве "полезной нагрузки" эксплоита может выступать троянская программа для перехвата нажатий клавиш и похищения паролей. Над решением этой проблемы в настоящий момент работают специалисты Adobe в преддверии выпуска обновлений.