Login  |  繁體中文
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
Previous Issue

Adobe Reader 存在嚴重 JavaScript 漏洞

美國電腦安全緊急應變小組 (U.S. Computer Emergency Readiness Team,US-CERT) 日前警告,Adobe Reader 若干版本存在嚴重漏洞,遠端駭客可能利用來執行惡意程式碼,藉由該漏洞,遠端攻擊者能夠發動阻斷服務攻擊 (denial of service attack)、使應用軟體無法執行,或取得系統控制權以瀏覽帳號並竊取資訊。

該漏洞最初是在 SecurityFocus 網站上公佈。該公告中表示,攻擊者可以利用此漏洞以使用者執行該應用軟體的權限,執行任意程式碼。

對此,Adobe 做出了簡短的確認。該公司安全計畫經理 David Lenoe 表示,Adobe 得知 Adobe Reader 9.1 與 8.1.4 中潛在漏洞的報告,他們目前正在進行調查。儘管 Adobe 表示計畫對 Windows、Mac 與 Unix 上的所有受影響版本,提供安全更新以解決此事,但目前尚未有明確時程。此外,該公司補充說,目前並無因為該漏洞而遭受攻擊的消息傳出。

根據 SecurityFocus,Linux 上的 Adobe Reader 8.1.4 和 9.1 存有此漏洞。而 Windows 和  Mac 上的版本也可能存有漏洞。

而根據 US-CERT 的報告,該漏洞是由 getAnnots 這個 JavaScript 函數中的錯誤所造成。為了減輕其影響,US-CERT 建議使用者關閉 Adobe Reader 的 JavaScript 功能。使用者可以透過編輯 (Edit) 的偏好設定 (Preferences),選擇 JavaScript 類別,將啟動 Acrobat JavaScript (Enable Acrobat JavaScript) 的項目取消勾選。

這次的安全報告令人回想起 3 月時,Adobe 曾發佈針對 Adobe Reader 9、Acrobat Reader 9  與早期版本中的一項跨平台漏洞。當時攻擊者已經利用該漏洞至少 6 週之久。該公司從 3 月 10 日起針對 Reader 9 發佈修補程式,並以為期 1 週的間隔,陸續修補 Reader 8 與更早期的版本。

nCircle Network Security 安全作業總監 Andrew Storms 指出,這次的事件跟 2 月那次非常相似。當時一連串爆發出許多 JavaScript 上的問題,現在我們看到的好像又是 JavaScript 漏洞。

在日前舉辦的 RSA 安全會議上,F-Secure 的首席研究者 Mikko Hypponen 表示,網際網路使用者應該改用替代性的 PDF 閱讀軟體。PDFReaders.org 網站上提供了相關的軟體清單。

Storms 不願指出可能的替代方案,他說,Adobe 產品線的確是為企業而設計,其他產品或許很難替代。不過,當 Adobe 產品一下子出了這麼多狀況,用戶必須問問自己,是否值得支持 Adobe?

Adobe 上次坦承產品漏洞前,已先一步發現相關攻擊事件的 Symantec,針對其 honey pot 網路是否已經發現利用這次的新漏洞的 PDF 檔案,則並未立即回應。


相關網址:
1.Adobe Reader 被發現有嚴重 JavaScript 漏洞
2.另一項 Adobe Reader 安全漏洞
3.新漏洞瞄準 Adobe Reader




OSSF Newsletter : 第 126 期 從 Firefox 擴充套件之戰談起

Category: FOSS News