اصلاح شش حفره امنیتی حیاتی در Adobe Reader

شرکت Adobe با انتشار نسخه به روز شده Reader 10.1.2 شش حفره امنیتی حیاتی را در این نرم افزار برطرف کرد.

این به روز رسانی برای ترمیم دو حفره امنیتی مهمی بودند که ظرف یک ماه گذشته، به طور هدفمند و هوشیارانه از آنها برای سرقت اطلاعات از مراکز و پیمانکاران نظامی در چند کشور، سوءاستفاده شده بود.

شرکت Adobe نسخه قدیمی تر Reader 9 را با انتشار نسخه فوق العاده و اضطراری، یک ماه قبل ترمیم و برطرف کرد. ولی به دلیل اینکه نسخه Reader 10 دارای فناوری “جعبه شنی” (Sandbox) است و تمام فرامین و دستورات در یک محیط بسته و قرنطینه اجرا می شوند، امکان سوءاستفاده موفق از حفره های امنیتی شناسایی شده، وجود نداشت. لذا شرکت Adobe از ابتدا اعلام کرده بود که نسخه جدید برای Reader 10 را طبق برنامه زمان بندی عادی سه ماهه خود، منتشر خواهد کرد.

حفره های امنیتی مورد بحث در نحوه پردازش داده های گرافیکی در قالب U3D توسط نرم افزار Adobe Reader است. قالب گرافیکی U3D روش فشرده سازی داده های گرافیکی است که توسط محصولات نرم افزاری برخی شرکت ها، نظیر Adobe, Intel و HP پشتیبانی می شود.

علاوه بر انتشار نسخه Reader 10.1.2، نسخه جدید Reader 9.5 نیز منتشر شده است. در هر دو نسخه جدید، گزینه و امکان تازه ای گنجانده شده تا مدیران شبکه و کاربران بتوانند به دلخواه و تصمیم خود، امکانات Java Script را در نرم افزار Adobe Reader فعال یا غیر فعال کنند.

قابلیت Java Script در نرم افزار Adobe Reader طی چند سال گذشته، به طور گسترده مورد سوءاستفاده قرار گرفته و حفره های امنیتی متعددی در این بخش از نرم افزار کشف و شناسایی شده است.

اکنون در نسخه های جدید می توان براساس اصل و نصب فایل PDF، به نرم افزار Adobe Reader اجازه اجرای Java Script موجود در فایل را داد و یا آن را مسدود کرد. به عنوان مثال، فایل های PDF تولید شده در داخل سازمان را می توان قابل اعتماد دانست و اجازه اجرای دستورات Java Script داخل این فایل ها را داد.