Adobe biedt onveilige versie van Reader aan

Het Deense securitybedrijf Secunia heeft de verouderde versie van Adobe Reader ontdekt via zijn eigen klanten. Klanten die Secunia's Personal Software Inspector (PSI) gebruiken, kregen alsmaar meldingen dat de pdf-software ongepatcht is. En dat terwijl ze juist net de nieuwste softwareversie hadden gedownload van Adobe's website.

Eerst dacht Secunia dat de PSI-software een foutieve melding gaf, maar dat bleek niet het geval. Het bedrijf concludeert dus dat de download sterk verouderde is. "Adobe.com biedt software met bekende bugs aan", aldus Mikkel Winther van Secunia tegen Computerworld.

Twee patches ontbreken

De aangeboden download is de verouderde Reader-versie 9.1, die Adobe op 10 maart 2009 heeft uitgebracht. Sindsdien heeft het bedrijf twee updates doorgevoerd. De eerste patch (9.1.1) op 12 mei om een zero-day gat te dichten. De tweede patch (9.1.2), op 9 juni, repareerde minstens 13 kritieke fouten in de pdf-software. Beide updates zitten niet in de versie die Adobe aanbiedt op de eigen site.

"Adobe heeft wel de Adobe Updater, wat uiteindelijk de Reader zal vernieuwen naar de gepatchte versie", zegt Winther van Secunia. Normaliter controleert Adobe's updater elke week op een vast tijdstip of er nog updates zijn. Dat betekent dus dat een gebruiker maximaal 7 dagen moet wachten op een veilige versie van Reader. Om die reden geeft Secunia het advies aan gebruikers om Reader handmatig te updaten via het keuzemenu.

Adobe: direct updates

Adobe onthield zich in eerste instantie van commentaar, maar heeft nu toch aan Techworld.com een reactie gegeven. Volgens de leverancier vindt de update direct na installatie plaats. Er zijn dus geen onveilige versies van Reader in omloop.

Volgens Secunia klopt deze lezing niet. "Het is niet onze ervaring dat de update meteen plaatsvindt. We hebben meerdere tests gedaan en zijn tot een andere conclusie gekomen", zegt Winther.