Empresa corrige brecha de script em múltiplos sites no aplicativo, descoberta na semana passada, que permitia controle do PC infectado.
A Adobe Systems divulgou uma atualização de segurança para corrigir um vulnerabilidade de script em múltiplos sites nas versões 7.0.8 e anteriores dos softwares Adobe Reader e Acrobat.
Nesta terça-feira (09/01), a companhia também publicou um boletim de segurança detalhando novidades no lado dos servidores para que donos de sites podem usar para prevenir que páginas sejam seqüestradas usando o vulnerabilidades, divulgada na semana passada.
As atualizações são divulgadas menos de uma semana após duas pesquisadores de segurança na Itália descobrirem uma falha no Adobe Reader chamada Open Parameters que permitiria a crackers injetar código arbitrário em JavaScritp em um navegador.
A descoberta da falha causou uma preocupação generalizada pela facilidade com que poderia ser explorada e por permitir que qualquer site hospedando arquivos PDF fosse usado para conduzir o ataque.
Em resposta às preocupações, a Adobe na semana passada sugeriu que todos os usuários atualizassem para a versão 8 do adobe Reader e Acrobat, já que ambos não eram afetados pela falha. Na ocasião, a companhia também disse que divulgaria patchs corrigindo a questão para usuários que queriam continuar usando versões antigas dos dois programas.
A atualização de segurança da Adobe também corrigiu vulnerabilidades identificadas nas verões 7.0.8 e anteriores do Reader e Acrobat, disse a companhia.
As brechas, assinaladas como críticas pela Adobe, permitiam que crackers tomassem controle de um sistema afetado.
“Uma maneira de prevenir o Adobe Reader e o Acrobat Plugin de ser atingido por códigos em JavaScritp a partir do navegador é forçar arquivos PDFs a abrir fora do programa”, afirma a companhia.
Outra maneira de minimizar o risco é considerar a criação de um código no servidor (ColdFusion, Java, PHP, ASP.NET, etc.) para ler o arquivo e devolvê-lo como parte da resposta”, notou.
Passos que o usuário pode seguir em ambos os processos foram detalhados no boletim de segurança divulgado nesta terça.
