10:22
23/11/2010

Adobe Reader X: koniec 0day’ów w PDF-ach?

Adobe udostępniło nową, “rewolucyjną” wersję swojego bardzo dziuraw^Wpopularnego czytnika PDF-ów. Imię jego: Adobe Reader X. Od tego wydania czytnik będzie otwierał PDF-y w “piaskownicy” .

Adobe Reader X: exploity mu niegroźne?

Pod koniec lipca opisaliśmy zmiany, jakie Adobe planowało wprowadzić do swojego czytnika, aby przeglądanie PDF-ów było bezpieczniejsze. I oto słowo ciałem się stało. Powitajmy Readera w piaskownicy!

Jeleń w piaskownicy. (fot. Piotr Photo, lic. CC)

Wykorzystywana w Adobe Reader X technologia sandboxingu jest wzorowana na tej stosowanej przez Microsoft (protected mode) i Google (przeglądarka Chrome). Według zapewnień Adobe, wyposażona w sandboxing wersja czytnika nie powinna “pożerać” większych zasobów systemowych niż poprzednie edycje Acrobat Readera.

Trzymamy kciuki, zachęcamy do aktualizacji czytników …i czekamy na pierwszego exploita, który poradzi sobie z piaskownicą Adobe :-)

Aktualizacja: na ataki na nowego Acrobat Readera X nie trzeba było długo czekać. Skoro exploity pisze się teraz trudniej, to korzystniej jest ugryźć czytnik od innej strony: w sieci narasta spam namawiający do instalacji “fałszywego” Adobe Reader X…)

P.S. Dla tych, których zawsze trafia szlag przy ściąganiu nowej wersji Adobe Readera (“niespodziewane” dodatki w postaci McAfee czy Adobe Dowload Managera) mamy niespodziankę — link bezpośredni.

Przeczytaj także:

41 komentarzy

Dodaj komentarz
  1. Z tym bezpośrednim linkiem to nie słuchajcie ludzie – to zapewne fałszywy Adobe Reader X ;)

  2. Aktualizacja Acrobata do kolejnej wersji to taka męczarnia, że prędzej się chyba przesiądę na jakąś alternatywę [np. Foxit], na razie jeszcze jakoś wytrzymuję ten “Adobe Updater”, którego nijak nie mogę wyłączyć.

  3. Potwierdzam: link jest fake, w pliku trojan. Po instalacji zmienił mi tapetę w Windows XP i ukradł z konta 12 zł.

  4. Szkoda tylko, że nie ma wersji polskiej oprogramowania. Ja tam dam sobie radę z angielską wersją, natomiast nie wyobrażam sobie wdrożenia tego oprogramowania w obcym języku w swoje firmie ;)

  5. a ja przesiadłem się na foxit z innego powodu. reader ma pluginy do przeglądarek, których nie da się odinstalować, a które zwyczajnie są bardzo niestabilne. kliknięcie linku do pliku pdf w msie zwykle zamrażało całą przeglądarkę na ok. pół minuty. to samo w firefoksie, ale tutaj bardzo często przeglądarka zamrażała się na zawsze. foxit tego nie ma i bardzo się z tego cieszę. klikam link i mogę wybrać, czy chcę go otworzyć czy zapisać. w koncu nie zawsze wiesz, że dany link prowadzi do pliku pdf.

  6. Polecam również Foxit :) Lekki, bez instalacji, no i jak osoba powyżej powiedziała – pyta się po kliknięciu w link czy zapisać, czy otworzyć PDFa. Także jako że mam limity na neta, to dobre jest ściąganie PDFa, a nie od razu otwieranie – można sprawdzić rozmiar dokumentu i w razie czego zrezygnować z pobierania.

  7. Jeszcze “lżejszym” i przy okazji pozbawionym reklam czytnikiem jest Sumatra. Na rzecz tego programu zrezygnowałem z Foxit’a ;)

  8. Ja również korzystam z Foxit Readera i to już od dobrych 3 albo 4 lat i nie w głowie mi przesiadanie się na produkty firmy adobe

  9. Ja natomiast korzystam z Evince i z Okular, obydwa bardzo sobie chwalę.

  10. OkropNick – ale zapomniales dodac, ze to sa na GNU Linuxa ;) FoxIT jest na Windowsa (nie wiem jak na inne systemy)

  11. @mariuSek: Bo ja przyzwyczajony, że jak coś jest pod GNU/Linux, to pod inne OS bardzo często również. Pobieżne poszukiwania Evince dla Windows:

    http://ftp.gnome.org/pub/GNOME/binaries/win32/evince/2.28/evince-2.28.0.msi

  12. Uzywam na codzien Acrobata X ale na innym komputerze zainstalowalem sobie tego Reader X i dziala super szybko, szybciej niz 9tka. Adobe, way to go!

  13. Ja używałem też długo Foxit readera, niestety do PDF x-change viewer nie ma co porównywać, ten X-change jest ZNACZNIE lepszy, zaczynając od tego że potrafi wykorzystać wszystkie rdzenie – foxit umie tylko 1 ;)

    Nawet nie zdawałem sobie sprawy z tego że takie programy mogą zapamiętać miejsce gdzie zamknęło się pdf (stronę) , dopiero ten x-change miał takie coś w standardzie i się dowiedziałem,okazało się że foxit też to miał, ale ukryte głęboko w opcjach ;)

    Polecam przetestowanie – integracja z przeglądarkami jest znakomita, same strony też drukuje się znacznie lepiej – WKOŃCU pamięta ostatnie ustawienia drukowania (typu 2-4 strony na jednej itd), foxit tego nie potrafi ;)

    To takie przyokazji, Adobe to ja na oczy nie chcę widzieć – tak czy siak dużo użytkowników w ogóle go nie aktualizuje bo nie widzą potrzeby – pdfy działają to po co? :>

  14. Oczywiście z drukowaniem miałem na myśli jego ustawieniem – bo samego drukowania on nie przyspiesza ;)

    A i chyba tylko dla windowsa – nie widzę wersji na inne systemy :/

  15. Jak dla mnie to Adobe trochę przesadza z wielkością oraz szybkością uruchamiania swoich aplikacji. Coraz większy rozmiar, coraz więcej zasobów pożerają, coraz więcej dziur, a do otwierania PDFów nie potrzebuję kombajnu… Podobnie jest z Flashem, po ostatnich aktualizacjach nawet dużo starszych flashowych playerów na stronach nie chce działać.

  16. @quiris to Adobe Reader potrafi coś innego niż otwierać pdfy?, że taka niezbędnie konieczna jest polska wersja w Twojej firmie? – jak coś wystarczy nauczyć personel słowa Print (z języka ang. drukuj).

  17. Przesiadłem się na Nitro i… nie żałuję. Przy okazji instaluje mi się opcja drukowania do PDF – sympatyczne i przydatne. Zakładki też posiada ;)

    Mega wypasionych funkcji mieć nie muszę, więc na razie program ‘mnie przerasta’ – i dobrze ;]
    Jak sobie przypomnę, ile czasu ładowały mi się PDFy w AR…

  18. No bo przecież PDFa bez ośmiu rdzeni i HT to nie idzie przeczytać… A żeby fonty jeszcze wyrenderować to co najmniej HD6970. Takie czasy, Panie!

  19. A dlaczego nie ma jakiejś konkretnej alternatywy dla Adobe flash player ? Nawet na Linuxa. Czy chociaż kod na Linuxa jest do przejrzenia ?

  20. @joker: Gnash, Spark, Swfdec – więcej nie kojarzę.

  21. A mi Foxit “psuł” pliki. Otrzymane w załączniku do poczty *.pdf, otwierały się i zapisywały pięknie. Gorzej, gdy chciałem wysłać zapisany przez FR plik. Waga słuszna, ale zawartość “pusta” :( Musiałem wracac do oryginałów NIE OTWIERANYCH przez Foxit :(

  22. A ja od 3 lat używam pdf-xchange viewer’a. Szybkość, b.dobra integracja. Bezproblemowy programik. Polecam!

  23. @OkropNick
    Dzięki

  24. Aha czyli zamiast dziur 0-day w readerze będą dziury 0-day w jego sandoboxie. Jak tam 2 systemy, więc albo okular albo foxit, z utęsknieniem czekam aż HTML5 się unstandaryzuje i przyjmie na tyle że będę mógł wyp…..lić flasha

  25. @sig
    a nie możesz? Przy surfowaniu, 80% wykorzystania flasha to pieprzone reklamy, kiedy tak naprawdę używa się flasha intencjonalnie? Jak się włączy jakąś gierkę albo co lepszą stronę http://www...

  26. Witam

    Ja tam korzystam z Adobe reader-a.
    a dokładnie z program do tworzenia własnej instalki Adobe Reader – Adobe Customization Wizard, dzięki niemu tworzę gotowego Readera – bez EULA, Update itd.
    :), potem to przepakowuję IEXpress-em i mam super gotowca np. Adobe Reader w wersji Silent z progress barem.
    Polecam

  27. Ja już od jakiegoś czasu używam Foxita i jestem zadowolony. Co prawda plugin Adobe notorycznie zawiesza matce Firefoxa, ale i z tym można sobie poradzić.
    Poczekam na pierwszego 0-daya w X i wtedy będę się śmiał jak doktor Zło.

  28. Co do Foxita, też bym go używał ale mój plan zajęć (Celcat Timetable czy jakoś tak) wygląda prawidłowo tylko w Adobe Readerze. W Foxicie i innych programach zamiast tekstu widzę kreski i kwadraty. I co wtedy? Inne czytniki PDF też nie potrafią tego pokazać prawidłowo…

  29. re Bardzociekawe Ano nie mogę, bo:
    1) zwiastuny, trainery, prezentacje technologii itd, czyli ogólnie streaming wideo ciągle tfardo na flashu siedzi, nawet na youtubie nie wszystko jest zgodne z playerem HTML5
    2) 2 bratanków z zamiłowaniem do różnorodnych gier, są częstym gościem na gamegape i podobnych.
    3) Sam html5 jest ciągle tylko ” w wersji beta”, stawianie na niego już teraz to głupota bo się wszystko może do czasu ustandaryzowania zmienić.

    Co do reklam, to zajmuje się nimi noscript a jak serwowane przez ten sam serwer co strona to go adblock wspomaga. Nie blokuję tylko google adsense, bo takowe w niczym nie przeszkadzają (nie wydają dźwięków, nie migają, nie zasłaniają właściwej treści).

  30. Jesli kogoś drażnią drażniące adobe updatery i inne badziewne autostarty od adobe i innych polecam maleńkiego exeka o nazwie autoruns. W zakładce logon wystarczy odzanczyć niepożądane programy. Do PDF-ów I tak polecam Foxita

  31. Żeby adobe reader nie zawieszał firefoxa wystarczy wyłączyć odpowiednią wtyczkę…

  32. Ja do pdf’ów wolę używać PDF-Xchange Viewer, bo czasami mam przeogromną ochotę dodać jakiś komentarz w pliku PDF a w/w program mi to umożliwia. Co prawda nie da się wprost zapisać takiego pliku jako pdf (w wersji darmowej), ale wydrukować już się da z notatkami.
    Podobnie jak dodać można też i ująć jakiś fragment tekstu nakładając na niego wielki biały prostokąt (gorzej, jak tło nie jest jednolite) i na prostokącie napisać jakiś test.

    Oczywiście program obsługuje poprawnie zabezpieczone pliki pdf i jedyne co można z takimi plikami robić to oglądać lub wydrukować (ehh i znowu te Wasze domysły…).

    Oczywiście da się włączyć/wyłączyć plugin do przeglądania w karcie przeglądarki (testowane na Firefox i Opera).

    No i oczywiście kolejny bardzo ważny argument przemawiający przeciw najnowszemu Acrobat Readerowi – nie chcę zostać jeleniem :)

  33. Wersja na maka nie ma dodatkow i mozna po ludzku siciagnac, bez zadnych downloaderow i tym podobnych udziwnien.
    Przed chwila odpalilem instalator, licencje podal razem z calym kodem html, do tego informacja o 415MB potrzebnych do instalacji. No ladnie…..

    p.s. moze jakis theme mobilny w koncu na niebezpieczniku by sie pojawil, strasznie ciezko sie przeglada ta strone na iphonie

    • Marcin: pracujemy nad tym (theme do iPhone’a).

  34. Piotr: Jest wtyczka do wp, ktora zalatwia sprawe, wptouch.

    • Marcin: nie ma tylko czasu na audyt kodu tej wtyczki ;)

  35. Link bezpośredni ze strony adobe :-)
    http://get.adobe.com/reader/enterprise/

  36. predzej czy pozniej i tak zostaniecie shakowani, wiec nie ma co sie przejmowac!

  37. Skoro do odczytu skryptu drukarkowego wystarcza programik ważący 11kB, to ja się pytam – czym zajęte jest pozostałe 100MB produktu Adobe? Przecież to wygląda jak urządzenie które szyfruje, dzieli na fragmenty i wysyła w świat nasze dokumenty według jakiegoś planu. Swoją drogą – czy pisaniem wirusów, robaków itp. szkodliwego śmiecia nie zajmują się producenci tych wielkich programów użytkowych i antywirusowych? Przecież to najkrótsza droga do wyrabiania nawyku zakupu nowej udoskonalonej wersji (ale jednak zakupu). Może przesadzam, ale taka możliwość zdaje się być bliższa prawdy niż wizja złośliwego informatyka poświęcającego długie godziny swojego prywatnego czasu tylko po to aby zaszkodzić innym… :)

  38. Ja mam taki opis? Może to coś komuś pomoże: http://komeniusz.hostsite.pl/index.php/1555/recenzje/adobe-acrobat-x-pro-w-codziennej-pracy/

  39. […] Readera/Acrobata (posiadają wbudowaną obsługę Flasha dzięki podatnej na atak Authplay.dll), to Reader X, dzięki swojemu Protected Mode według Adobe ochroni użytkowników przed skutkami […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: