Antone Gonsalves, CSO / EUA
Foram corrigidas 75% das falhas conhecidas. Empresa recomenda desativar a extensão do Reader para o Chrome, ao menos por enquanto
A equipe de segurança do Google alerta: atualização do Reader, o software de leitura de PDFs da Adobe, não inclui correções para um número considerável de vulnerabilidades.
A Adobe liberou uma nova versão para o Reader na terça-feira (14/8), na qual foram corrigidas cerca de 20 falhas das versões para Mac e Windows. Apesar do número elevado de defeitos abordados nos patches, outras vulnerabilidades continuaram intocadas, de acordo com uma análise feita por Mateusz Jurczyk e Gynvael Coldwind, do Google.
O Google incluiu o Reader no motor de buscas do Chrome. Por isso tem acompanhado tão de perto as correções feitas pela Adobe. No começo do ano, a equipe da gigante de Mountain View começou a testar a aplicação para encontrar erros que poderiam ser explorados por programadores mal-intencionados.
Na última atualização, segundo o google, a Adobe corrigiu vulnerabilidades consideradas críticas e de alto risco, mas falhas menores continuaram intocadas. "Infelizmente, 16 outros defeitos que afetam o Windows, o OS X ou até mesmo ambos os sistemas, continuam sem correção", afirmou a equipe de segurança do Google.
A Adobe reconheceu ter recebido uma lista de bugs da Google no final de junho e combateu "cerca de 75% dos problemas no pouco tempo que tiveram desde que o relatório chegou".
"Planejamos resolver as questões remanescentes na próxima atualização do Adobe Reader e do Acrobat", afirmou a porta-voz da empresa, Wiebke Lips, ao CSO Online, por e-mail. "A Adobe não tem conhecimento de explorações para quaisquer dos problemas citados pelo Google."
A política da gigante é oferecer aos desenvolvedores de aplicativos 60 dias para consertar erros, antes de expô-los. Em 21 e 27 de junho, o Google notificou a Adobe sobre um total de 60 caches reproduzíveis relacionados a falhas do Reader. Nem todas as vulnerabilidades apresentaram sérios riscos à segurança.
Levando em conta que a Adobe não planeja liberar nenhum nova atualização antes de 27 de agosto, a Google decidiu que a melhor forma de atender interesses de usuários do Chrome era alertá-los sobre detalhes dos bugs e como prevenir riscos.
Além de ignorar falhas em versões do software para Windows e OS X, na terça-feira a Adobe não anexou nenhuma correção para as vulnerabilidades reportadas pelo Google para a versão do Reader para GNU Linux.
As falhas do Windows e OS X estão em versões anteriores do Reader. Usuários do Reader X estão menos suscetíveis a riscos. No entanto, o Google afirma que é possível que hackers especializados em caçar bugs podem encontrar tais falhas, o que aumenta a urgência da divulgação.
Por não existirem soluções disponíveis para as vulnerabilidades não corrigidas, o Google recomenda limitar o uso do Reader ou pelo menos não abrir externamente documentos em PDF. Além disso, a empresa recomendou desativar a extensão do Reader no navegador, pelo menos por enquanto.
"Usuários do Adobe Reader 9.x para Windows que estão cientes do risco são aconselhados a atualizar para o Adobe Reader X, que fornece um recurso de sandbox, tornando mais difícil - embora não impossível - a exploração dessas vulnerabilidades", disse a equipe de segurança. "Infelizmente, o recurso de sandbox não está disponível para as versões mais recentes do Adobe Reader para OS X ou Linux."
Porque nenhuma das vulnerabilidades reportadas pelo Google deixaria hackers passar pela sandbox do Reader, a Adobe acredita ter tempo para liberar os patches adicionais. "Nós não acreditamos que as questões pendentes representam um sério risco aos usuários", disse Lips.
Usuários do Reader são notoriamente conhecidos por utilizarem versões desatualizadas do software, o que as torna potencialmente inseguras. Uma análise no ano passado realizada pela empresa de antivírus Avast Software constatou que apenas 40% dos usuários tinham instalado o patch Reader X, lançado em 2010. A Adobe oferece também a opção de atualizações automáticas para o software.
Vale lembrar que já não é a primeira vez que o Google bate de frente com a Adobe. Ainda nessa semana, a gigante abandonou oficialmente o Flash para Android.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário