PDF без патча может вызвать большие проблемы.

Неисправленная ошибка в популярных программах просмотра и редактирования PDF документов намного опаснее, чем ранее думали, опираясь на слова исследователей систем безопасности, создавших эксплойты, способные обойти защиту Adobe.

Adobe Systems узнала об уязвимости в Reader и программном обеспечении Acrobat еще в середине января, но выпустит патч лишь в среду 11 марта.
Информация об ошибке появилась в новостях две недели назад, когда Adobe подтвердила наличие уязвимости и присвоила ей статус критической. В течении нескольких дней появились отчеты, судя по которым, некоторые атаки использовали уязвимость еще в начале января.

Не смотря на то, что Adobe рекомендовала своим пользователям отключить JavaScript в Reader и Acrobat ,как меру защиты от данного вида атак, многие исследователи сообщают, что такой шаг не сможет помочь.
На прошлой неделе исследователь, который работает на датскую организацию по отслеживанию уязвимостей Secunia, заявил, что столкнулся с эксплойтом, не основанном на JavaScript. "Во время нашего анализа, перед Secunia ставилось целью создать полностью работающий эксплойт, не использующий JavaScript и, следовательно, способный поразить компьютеры пользователей, считающих, что обезопасили себя путем отключения поддержки JavaScript’а", сказал ведущий специалист по безопасности Карстен Айрам в своей заметке в блоге компании.

Во вторник основатель и руководитель отдела технологий компании Immunity Дэвид Эйтель сделал такое же заявление. "Все намного сложнее, чем кажется на первый взгляд", сказал он в своей почтовой рассылке по вопросам безопасности Dailydave. "Пабло и Косте потрудились над защитой, но эксплойт Acrobat JBIG сейчас неплохо работает и без JavaScript’а." Эксплойт был добавлен в CANVAS, коммерческую программу по проверке на уязвимости от Immunity.

На следующий день, в среду, бельгийский исследователь систем безопасности Дидье Стивенс, сообщил, что также создал эксплойт, использующий уязвимость без JavaScript'а, и выложил как доказательство публичное сообщение с кодом атаки. Его эксплойт работает в фоновом режиме и не требует от пользователя даже открывать зараженный PDF файл.

"В некоторых ситуациях проводник Windows прочитает PDF документ, чтобы предоставить пользователю дополнительную информацию о файле. При этом он выполнит код и активирует уязвимость... как если бы вы сами открыли документ", сообщил Стивенс в своем блоге.

Adobe знала, что их совет отключить JavaScript не будет панацеей. Во время интервью на прошлой неделе Брэд Аркин, директор Adobe по безопасности программ и защите личной информации, подметил, что только следующий патч полностью защитит пользователей. "Отключение JavaScript'а не даст полного спокойствия", сказал Аркин. "Он защитит только от одной формы атаки. Чтобы было проще понять, скажу, что не существует такой комбинации настроек конфигурации, способной полностью устранить угрозу."

Аркин также встал на защиту политики компании по выпуску патчей, которую все назвали крайне медлительной. "Мы связались с одним из наших партнеров 16 января, когда они сообщили об обнаруженном эксплойте", сказал он. "Мы тут же провели расследование и начали работать над устранением ошибки."