Adobe Systems планирует к концу года выпустить крупное обновление, закрывающее дыры в безопасности программного продукта Reader.
По словам Брэда Аркина, директора компании по вопросам безопасности, Reader 10 будет иметь функцию песочницы, которая предназначена для изолирования возможных атак из приложения на реестр или файловую систему.
Reader 10 – крупное обновление, работы над которым длятся более чем 18 месяцев. Как и многие другие приложения под Windows, Reader тщательно исследуется на предмет дыр, вызывающих проблемы безопасности. Adobe поимела немалые головные боли после нахождения уязвимостей. Чаще всего эти недостатки всплывали в результате манипулирования с документами PDF.
«Песочница будет включена по умолчанию. Если эксплоит попытается произвести атаку на приложение, то он не сможет покинуть пределы песочницы», – заявляет Аркин.
Метод песочницы был задействован в браузерах Microsoft и Google, и Adobe работала с этими компаниями при разработке системы безопасности Reader 10.
При этом песочница позволит выполнять основные функции программы – такие как сохранение файлов, например. При этом попытки доступа Reader к файловой системе будут проходить через фильтр. Этот фильтр настроен на жёсткие ограничения и тщательно проверяет все действия на предмет нежелательных воздействий.
Adobe говорит, что все старые атаки на Reader станут бесполезны из-за двухступенчатой политики доступа. Но «плохих парней и исследователей это не остановит, потому что задача достаточно интересна», – считает Аркин. – «Награда за найденную уязвимость будет высокой, поэтому мы ожидаем большого внимания». Здесь, наверное, речь идёт не о денежном вознаграждении со стороны Adobe, а о возможностях по заражению большого количества компьютеров. Хотя компания и провела тщательное тестирование новой системы, «кто-то, возможно, сможет найти новую уязвимость».