משהו רע עובר על אדובי: פרצת בטיחות ב-PDF

פרצת בטיחות חמורה שאדובי פשוט לא מתקנת גורמת לחברה להראות רע מאד.

חברת אדובי ידועה בעולם כזו שעומדת מאחורי ה-PDF והפלאש. לאלו שעוסקים מעט יותר בבניית אתרים יודעים שהיא גם החברה שמאחורי Dreamweaver הידוע לשמצה, פוטושופ, אילוסטרייטור ועוד תוכנות רבות שמשמשות בוני אתרי אינטרנט ומעצבים.

פרצות בטיחות קורות וימשיכו לקרות. הבעיה היא מה שקורה אחרי שמגלים את הפרצה. אתר ReadWriteWeb מדווח שלאחר שנתגלתה הפרצה האחרונה שמאפשרת להשתיל קוד זדוני במסמכי PDF ולהפעילו גם אם המשתמש לא מפעיל את הקובץ כלל אלא רק צופה בו ב-Preview, לקח לאדובי
למעלה משבועיים לתקן את התקלה (שמוגדרת כקריטית) וגם זה עבור גרסאות 9 של אדובי רידר. מומחי אבטחה הביעו תרעומת עצומה על הנושא אך אדובי באיטיות ובכבדות ראויה לציון לא זזה. עכשיו מסתבר שהתיקון שהיא הוציאה לא מונע את הבעיה.

על מנת להבין את החומרה שבמצב, חור האבטחה הוא כל כך פשוט, שבעשרה צעדים כל אחד יכול לשתול PDF מורעל בכל מקום, ללא ידע טכני מתקדם במיוחד. ילדים משועממים יכולים לשתול PDFים כאלו בפורומים או בלוחות מודעות ובכך להרוס להרבה אנשים את היום ולעשות נזק רב.

עד לתיקון הבעיה אני ממליץ לכולם להתקין את Foxit שהוא כלי עזר להצגת פלאש. הוא שוקל 3 מגהבייט בלבד, עולה במהירות עצומה ואין בו את חורי האבטחה שיש באדובי רידר השמן (80 מגהבייט!).

ההתנהלות של אדובי גובלת בשערוריה וגורמת לחברה להראות רע מאד, אם נוסיף על זה את הפאשלה האדירה שנקראת Adobe flash CS3, את העיכוב המחריד ביצירת פלאש סלולרי ואת העובדה שאין עדיין פלאש לאייפון/אייפוד יהיה קל לראות שמשהו ממש רע עובד על אדובי. בעולם המתפתח של אפליקציות קלות משקל המבוססות על HTML 5 והמתחרות JavaFX ו-Silverlight יהיה קשה לחברה להתמודד אם היא תמשיך כך.

פוסטים נוספים שכדאי לקרוא

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

תמונה מצוירת של רובוט שמנקה HTML
יסודות בתכנות

סניטציה – למה זה חשוב

הסבר על טכניקה פשוטה וידועה מאד שאנו מפעילים על מידע לפני שאנחנו מציגים אותו ב-HTML באפליקציה או באתר.

גלילה לראש העמוד