Google安全團隊周四(8/16)指出,今年6月他們在測試Chrome瀏覽器中所嵌入的PDF Reader時,順便測試了Adobe Reader 9.5.1,並將所發現的漏洞提報給Adobe,但Adobe在周四更新的Adobe Reader中,還留了許多重大漏洞未修補,因而對Adobe Reader用戶提出警告。

Google安全研究人員Mateusz Jurczyk及Gynvael Coldwind表示,他們打造了一堆PDF檔案來測試Chrome PDF Reader的安全性,發現超過50個嚴重性不等的漏洞,他們在修補自家產品之餘,也拿來測試Adobe Reader 9.5.1各平台的版本,發現這些檔案總計讓Adobe Reader當機60次,他們分析讓程式當掉的紀錄,發現有31個被歸類在重大漏洞,應該在60天內修補,另外有9個有被遠端攻擊的潛在風險。

6月Google得知此結果後,便通知了Adobe,Adobe亦於周四釋出了支援Windows與Mac的新版Adobe Reader。不過,Google發現,Adobe只修補了24個讓程式當掉的重大漏洞,還有16個沒修補,而且支援Linux平台的更新程式也尚未出爐。

Google安全團隊表示,即使沒有證據顯示這些漏洞已被利用,但他們仍擔心駭客不必耗費太多力氣就能從新舊版的Adobe Reader中找出相異之處,藉以打造攻擊程式,由於Adobe並無計畫在Google告知漏洞資訊的60天內再發表另一次的安全更新,該團隊認為有義務告知Adobe Reader用戶相關的風險。

現在各平台的情況是,Linux平台的Adobe Reader用戶完全曝露在Google所提交的重大漏洞威脅下,Adobe Reader for Windows則有6個重大漏洞未修補,Adobe Reader for Mac OS X有10個重大漏洞未修補。Google建議使用者有限制地使用Adobe Reader,或至少別開啟來自外部的PDF檔案,同時在問題解決前關閉瀏覽器的Adobe Reader擴充程式功能。

Google還建議Windows用戶可升級到Adobe Reader X版本,這是可用來抑制攻擊的沙箱版本,惟最新版的Adobe Reader X尚不支援OS X與Linux。(編譯/陳曉莉)

熱門新聞

Advertisement