Adobe patcht stiekem lek uit 2006
Gepubliceerd: Zaterdag 20 februari 2010
Auteur: Sander van der Meijs
Beveiliger Secunia heeft iets vreemds aangetroffen in de patches die Adobe onlangs heeft uitgebracht. Het lijkt erop dat Adobe kwetsbaarheden uit 2006 heeft gedicht zonder daar iets over te melden.
Adobe heeft bij de bewuste patchronde een lek in Adobe Reader 9.3.0 gedicht dat volgens het bedrijf de applicatie kon doen crashen en eventueel zelfs aanvallers de controle over het systeem kon geven. Maar verder werden er geen details prijsgegeven.
Verdwenen versienummer
De Deense beveiliger Secunia zocht uit dat er veranderingen waren aangebracht in AcroForm.api, schrijft Alin Rad Pop op het Secunia Blog. Bij nader onderzoek bleek vervolgens dat er veranderingen waren aangebracht in de open source libtiff bibliotheek, die wordt gebruikt om TIFF images mee te renderen.
Het versienummer van de bibliotheek was verwijderd, maar Secunia kwam er achter dat het om versie 3.8.1 gaat, die uit 2006 stamt en waarin behoorlijk wat kwetsbaarheden zitten. Ze hebben dan ook exploits voor deze lekken losgelaten op versie 9.3.0 van Adobe Reader, en daarop bleken ze te werken. Of ze inderdaad niet werken op 9.3.1 vertelt Rad Pop er overigens niet bij, terwijl dat toch wel belangrijk is.
Slapende honden
In ieder geval heeft het onderzoek naar een ongespecificeerde kwetsbaarheid geleid tot de ontdekking van een andere kwetsbaarheid die al sinds 2006 in Adobe Reader zit. Misschien heeft Adobe bedacht dat ze dit gat stiekem konden dichten, waardoor er geen slapende honden wakker zouden worden. Want Adobe krijgt de laatste tijd toch al zoveel kritiek omdat het zo langzaamaan doet met het patchen van hun lekken. Een gat dat al sinds 2006 in hun software zit zou die geluiden weer wat luider maken.
Bron: Techworld
