Microsoft, Adobe dostavila redni komplet varnostnih popravkov

Microsoft je, kot vedno, na drugi torek v mesecu izdal svojo bero varnostnih popravkov. Tokrat prideta samo dva kompleta popravkov za Okna in trije za Office, kar je opazno manj kot prejšnje mesece. Nobeden od popravkov tudi ne nosi oznake critical, se pa popravlja precej resno priviledge escalation napako v WINS strežniku, ter nekoliko otežuje podtikanje okuženih knjižnic (binary planting oz. DLL hijacking). Obe pomanjkljivosti namreč potrebujeta predhoden dostop do sistema.

Za to zadnje mesece skrbijo predvsem zastarele različice (manj) jave in (bolj) Adobe Acrobat readerja. Ta na videz neškodljiv bralnik oz. zapis dokumentov je na široko odprl vrata za viruse z uvedbo podpore za skriptne jezike znotraj PDF dokumenta samega, in pa šlampasto spisano kodo za branje vgrajenih fontov, ki sproži prekoračitev pomnilnika. Znaten faktor pri tem je, da Adobe nikoli ni dal dostopa do izvorne kode bralnika, kar otežuje izvedbo varnostnih analiz, kot so jih deležni odprtokodni programi. To je tudi eden od razlogov, da FSFE preko projekta PDFReaders.org vzpodbuja k zamenjavi Acrobata za katerega od brezplačnih in odprtih bralnikov, in istočasno nerga državnim institucijam, ki poleg povezave na PDF dela zastonj reklamo Adobe-ju. Speaking of Adobe, pravkar so izdali 14 popravkov za varnostnje luknje v Acrobatu (zapisovalec PDF-jev) in Readerju.