В конце прошедшей недели разработчики Adobe Systems, наконец, разместили в открытом доступе патчи для Adobe Reader и Adobe Acrobat, которые позволили устранить в данном ПО ранее обнаруженные уязвимости.
Стоит отметить, что уязвимости имели критический характер и проявили себя в ряде "атак нулевого дня" на множество зарубежных компаний, работающих в сфере обороны.
Уязвимость CVE-2011-2462 впервые обнаружилась еще 6 декабря, после того, как компания Lockheed Martin, а также структурное подразделение Пентагона сообщили об обнаружении следов хакерских атак на собственные ресурсы при помощи неизвестной уязвимости в продуктах Adobe Reader и Adobe Acrobat. Спустя еще несколько дней, данная уязвимость была засечена сканерами компании Symantec, скрывалась она в специально подготовленных e-mail .
Вторая уязвимость была обнаружена самими разработчиками, она также присутствовала в Adobe Reader (как версии 9.х, так и 10.х) и Adobe Acrobat и позволяла хакеру провести переполнение системного буфера и, потенциально, захватить контроль над удаленной системой, скомпрометировав пользовательские данные.
В самой компании Adobe сообщают, что уязвимость затрагивает технологию Universal 3D, позволяющую обрабатывать трехмерные графические модели данных. Хакеры нашли способ создать особо смоделированный U3D-контент, обработка вызывает переполнение буфера данных.
Удивительно, но обнаруженным уязвимостям остались не подвержены пользователи программной платформы Unix, для них обновление программного обеспечения Adobe пока не требуется.