Adobe za odpravo ranljivosti zahteval drag nakup nove verzije

Matej Huš

13. maj 2012 ob 04:49:06

Razumljivo je, da ima vsaka programska oprema omejeno obdobje, ko jo proizvajalec podpira. V obdobju splošne podpore si tako običajno brezplačno obetamo varnostne popravke, odpravo odkritih hroščev in včasih celo kakšno manjšo novo funkcionalnost. Običajno traja to obdobje vsaj nekaj let, za najbolj priljubljeno programsko opremo, kot je Windows XP, pa se je raztegnilo na celo desetletje. Adobe, ki ga imajo zaradi odnosa do uporabnikov mnogi pošteno v zobeh, pa je s svojimi programi pravkar skoraj postavil nov neslaven rekord v izsiljevanju uporabnikov v nakup novih verzij. Photoshop je po vsega letu dni varnostno oporečen - in kot tak zastarel.

Adobe je ta teden objavil obstoj več varnostnih ranljivosti v svojih programih Shockwave Player, Flash Professional CS5.5, Photoshop CS5.5 in Illustrator CS5.5. Gre za kritične ranljivosti, z izrabo katerih bi lahko napadalec prevzel nadzor nad sistemom in zagnal poljubno kodo. Le nekaj dni pred tem pa je izdal nove verzije teh programov (CS6), ki imajo omenjene ranljivosti že odpravljene. In kako je Adobe poskrbel za uporabnike starejših verzij CS5.5? Posodobitev za Shockwave obstaja, za ostale pa ne. Namesto tega so jim enostavno svetovali, da drago plačajo in namestijo novo verzijo, čeprav so inačice CS5.5 stare zgolj leto dni. Po Adobovi logiki je popravek kar verzija CS6, na kar se je javnost odzvala z zgražanjem.

Vse skupaj seveda ni zastonj, saj Photoshop CS6 stane 337 dolarjev, Illustrator CS6 420 dolarjev in Flash Professional CS6 164 dolarjev, če vsakokrat kupimo verzijo za nadgradnjo. Adobe je uporabnike mirno obvestil, da po njihovem mnenju omenjene ranljivosti niso velik problem, ker do zdaj še niso opazili, da bi jih napadalci aktivno izrabljali (to ni res, saj je ZDNet že odkril delujoč dokaz koncepta na internetu). Zato uporabnikom, ki si nakupa nove verzije ne želijo privoščiti, v Adobu preprosto svetujejo, naj bodo pazljivi pri odpiranju datotek iz neznanih virov.

Adobe s tem stopa na nevarna pota. Ali želijo poslati sporočilo, da bodo varnostni popravki odslej plačljivi, podprta pa zgolj najnovejša verzija? Če bi ta izšla vsakih deset let, bi to še šlo, a od uporabnikov pričakovati nadgradnjo vsako leto je precej utopično. Hkrati pa si Adobe prav mogoče koplje lastno jamo, saj lahko potencialni kupci CS6 sklepajo, da bo tudi ta verzija čez leto dni nepodprta in varnostno oporečna. Zakaj bi torej kdorkoli kupoval izdelek s tako omejenim rokom trajanja?

Vse skupaj je očitno spoznal tudi Adobe, ki je je nekaj dni pozneje popravil varnostni bulletin in zapisal, da je reševanje problema v starejših verzijah (CS5) v teku. Pritisk javnosti je to pot zalegel, a grenak priokus ostaja. Če bi namreč ne bil nastal spletni vihar, bi Adobe gotovo zakrpal le CS6.