Adobe zal morgen een noodpatch voor een zero-day lek in Adobe Reader uitbrengen dat tijdens de Black Hat conferentie werd onthuld, maar in eerste instantie door iedereen werd genegeerd. Oorspronkelijk was het idee dat de update maandag zou verschijnen, maar Adobe laat nu weten dat het morgen wordt.
Triest
Beveiligingsonderzoeker Charlie Miller ontdekte het lek, dat hij tijdens zijn presentatie demonstreerde. Ondanks de ernst van de kwetsbaarheid nam niemand van de honderden aanwezigen de moeite om hierover te Twitteren of het op andere wijze te melden. Iets wat volgens de onderzoeker is toe te schrijven aan de slechte beveiliging van Adobe's software.
"Adobe security is zo slecht, dat toen ik een Reader 0-day tijdens mijn lezing onthulde, niemand erover Twitterde. Triest", aldus de onderzoeker. "Ik denk dat het feit dat Reader 0-days niemand meer iets kunnen schelen interessanter is dan een Reader 0-day zelf."
Patch
Miller gaf tijdens zijn presentatie niet alle details over het lek vrij, maar aan de hand van de gepubliceerde informatie is het volgens Adobe eenvoudig genoeg voor aanvallers om het lek en bijbehorende exploit te reconstrueren. Het bedrijf wilde dan ook niet tot de volgende patchcyclus van 12 oktober wachten om het gat te dichten. Adobe Reader 9.3.3 verschijnt voor Unix, Windows en Mac, terwijl Acrobat 9.3.3 alleen voor Windows en Mac uitkomt.
Update 12:20
Het beveiligingslek blijkt eerder al door Google-onderzoeker Tavis Ormandy aan Adobe te zijn gerapporteerd, zo laat Miller op Twitter weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.