משהו רע עובר על אדובי: פרצת בטיחות ב-PDF

פרצת בטיחות חמורה שאדובי פשוט לא מתקנת גורמת לחברה להראות רע מאד.

חברת אדובי ידועה בעולם כזו שעומדת מאחורי ה-PDF והפלאש. לאלו שעוסקים מעט יותר בבניית אתרים יודעים שהיא גם החברה שמאחורי Dreamweaver הידוע לשמצה, פוטושופ, אילוסטרייטור ועוד תוכנות רבות שמשמשות בוני אתרי אינטרנט ומעצבים.

פרצות בטיחות קורות וימשיכו לקרות. הבעיה היא מה שקורה אחרי שמגלים את הפרצה. אתר ReadWriteWeb מדווח שלאחר שנתגלתה הפרצה האחרונה שמאפשרת להשתיל קוד זדוני במסמכי PDF ולהפעילו גם אם המשתמש לא מפעיל את הקובץ כלל אלא רק צופה בו ב-Preview, לקח לאדובי
למעלה משבועיים לתקן את התקלה (שמוגדרת כקריטית) וגם זה עבור גרסאות 9 של אדובי רידר. מומחי אבטחה הביעו תרעומת עצומה על הנושא אך אדובי באיטיות ובכבדות ראויה לציון לא זזה. עכשיו מסתבר שהתיקון שהיא הוציאה לא מונע את הבעיה.

על מנת להבין את החומרה שבמצב, חור האבטחה הוא כל כך פשוט, שבעשרה צעדים כל אחד יכול לשתול PDF מורעל בכל מקום, ללא ידע טכני מתקדם במיוחד. ילדים משועממים יכולים לשתול PDFים כאלו בפורומים או בלוחות מודעות ובכך להרוס להרבה אנשים את היום ולעשות נזק רב.

עד לתיקון הבעיה אני ממליץ לכולם להתקין את Foxit שהוא כלי עזר להצגת פלאש. הוא שוקל 3 מגהבייט בלבד, עולה במהירות עצומה ואין בו את חורי האבטחה שיש באדובי רידר השמן (80 מגהבייט!).

ההתנהלות של אדובי גובלת בשערוריה וגורמת לחברה להראות רע מאד, אם נוסיף על זה את הפאשלה האדירה שנקראת Adobe flash CS3, את העיכוב המחריד ביצירת פלאש סלולרי ואת העובדה שאין עדיין פלאש לאייפון/אייפוד יהיה קל לראות שמשהו ממש רע עובד על אדובי. בעולם המתפתח של אפליקציות קלות משקל המבוססות על HTML 5 והמתחרות JavaFX ו-Silverlight יהיה קשה לחברה להתמודד אם היא תמשיך כך.

פוסטים נוספים שכדאי לקרוא

פתרונות ומאמרים על פיתוח אינטרנט

המנעו מהעלאת source control לשרת פומבי

לא תאמינו כמה אתרים מעלים את ה-source control שלהם לשרת. ככה תמצאו אותם וגם הסבר למה זה רעיון רע.

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

גלילה לראש העמוד