Для отображения содержания, указанного ссылкой, некоторые программы просмотра запускают внешние приложения при помощи интерпретатора команд sh, чем может воспользоваться атакующий для внедрения в ссылку посторонних команд. CERT опубликовала список компаний, выпускающих программы просмотра PDF, и производителей, встраивающих их в свои приложения. Большинство из перечисленных в списке не сообщило, уязвимы ли их разработки. Однако Adobe Systems уведомила CERT о выпуске исправленной версии Acrobat Reader для Linux, Solaris, HP/UX и AIX. "Заплатку" выпустила и ассоциация разработчиков программы просмотра с открытым кодом Xpdf. CERT вынуждена была опубликовать сообщение о "бреши" ранее, чем планировалось, в связи с утечкой информации, допущенной, как считают в службе, одной из фирм, которым CERT заранее рассылает уведомления.

Служба новостей IDG, Бостон

Поделитесь материалом с коллегами и друзьями