证券指标 2012-08-17
Google安全团队周四(8/16)指出,今年6月他们在测试Chrome浏览器中所嵌入的PDF Reader时,顺便测试了Adobe Reader 9.5.1,并将所发现的漏洞提报给Adobe,但Adobe在周四更新的Adobe Reader中,还留了许多重大漏洞未修补,因而对Adobe Reader用户提出警告。
Google安全研究人员Mateusz Jurczyk及Gynvael Coldwind表示,他们打造了一堆PDF档案来测试Chrome PDF Reader的安全性,发现超过50个严重性不等的漏洞,他们在修补公司产品之余,也拿来测试Adobe Reader 9.5.1各平台的版本,发现这些档案总计让Adobe Reader当机60次,他们分析让程序当掉的纪录,发现有31个被归类在重大漏洞,应该在60天内修补,另外有9个有被远端攻击的潜在风险。
6月Google得知此结果后,便通知了Adobe,Adobe亦于周四推出了支持Windows与Mac的新版Adobe Reader。不过,Google发现,Adobe只修补了24个让程序当掉的重大漏洞,还有16个没修补,而且支持Linux平台的更新程序也尚未出炉。
Google安全团队表示,即使没有证据显示这些漏洞已被利用,但他们仍担心黑客不必耗费太多力气就能从新旧版的Adobe Reader中找出相异之处,可以打造攻击程序,由于Adobe并无计划在Google告知漏洞资讯的60天内再发表另一次的安全更新,该团队认为有义务告知Adobe Reader用户相关的风险。
现在各平台的情况是,Linux平台的Adobe Reader用户完全曝露在Google所提交的重大漏洞威胁下,Adobe Reader for Windows则有6个重大漏洞未修补,Adobe Reader for Mac OS X有10个重大漏洞未修补。Google建议使用者有限制地使用Adobe Reader,或至少别开启来自外部的PDF档案,同时在问题解决前关闭浏览器的Adobe Reader扩充程序功能。
Google还建议Windows用户可升级到Adobe Reader X版本,这是可用来抑制攻击的沙箱版本,惟最新版的Adobe Reader X尚不支持OS X与Linux。