Aktualizace mediálního softwaru - MujMAC.cz - Apple, Mac OS X, Apple iPod

23. srpna 2010, 00.00 | Adobe opravila závažné bezpečnostní chyby Acrobatu a Readeru mimo pravidelný termín bezpečnostních aktualizací. A oblíbený mediální přehrávač VLC ve verzi 1.1.3 též zaceluje vážnou zranitelnost.

Konec minulého týdne mnoho nového softwaru nepřinesl, objevily se však opravy bezpečnostních chyb mediálního softwaru provozovaného na více platformách včetně Mac OS X:

Adobe vydala mimořádné bezpečnostní opravy Acrobatu a Readeru

Mac OS X sice sám o sobě nabízí docela silné nástroje pro čtení PDF dokumentů a existuje řada bezplatných utilit umožňujících i jejich vytváření, přesto se najde dost uživatelů Maců, kteří mají nainstalovaný příslušný software Adobe, tedy zejména bezplatný Adobe Reader. A mnozí profesionálové pracující s produkty Adobe používají také Acrobat, nejčastěji v rámci programového balíku Creative Suite. (Na ostatních platformách je situace podobná.)

PDF software Adobe ovšem patří k nejčastějším terčům útoků, a tak je důležité sledovat, jak to vypadá s bezpečnostními opravami pro něj.

Minulý čtvrtek Adobe zacelila dvě jeho vážné zranitelnosti, z nichž jedna byla zveřejněna 28. července na bezpečnostní konferenci Black Hat. Popsal ji tam výzkumník Charlie Miller z baltimorské konzultační firmy Independent Security Evaluators, který se stal známým právě odhalováním zranitelností softwaru, zejména v souvislosti s PDF.

Na konferenci Black Hat Miller především předváděl účinnost otevřené nástrojové sady BitBlaze, jež umožňuje mnohem účinněji vyhledávat bezpečnostní chyby v softwaru, analýzou binárního kódu, údajně zvyšuje produktivitu hledání chyb až desetinásobně.

Dotyčná chyba se týkala zpracování písem v Acrobatu a v Readeru, PDF soubor obsahující patřičně upravené TrueType písmo mohl způsobit celočíselné přetečení umožňující spuštění libovolného (potenciálně nebezpečného) kódu.

Adobe o tom však věděla už dříve, protože danou chybu oznámil též bezpečnostní inženýr Googlu Tavis Ormandy, ovšem Millerovo vystoupení ji uvedlo ve všeobecnou známost, což si vynutilo její brzkou opravu.

Proto se Adobe rozhodla, že chybu opraví dříve než v rámci pravidelných aktualizací (od června 2009 Adobe bezpečnostní aktualizace vydává každé tři měsíce) a již počátkem srpna oznámila, že opravu uvolní v týdnu mezi 17. a 20. srpnem a minulé pondělí pak upřesnila, že to bude ve čtvrtek 19. srpna.

A to také udělala, vydala tenhle bezpečnostní věstník. Mimochodem, za odhalení oné chyby s písmy děkuje Adobe právě Ormandymu, zmiňuje ovšem, že se o ní diskutovalo na konferenci Black Hat.

Čtvrteční aktualizace však kromě chyby ve zpracování písem napravuje ještě jednu zranitelnost, o níž ale věstník uvádí pouze to, že oprava ještě důkladněji potlačuje útok typu sociálního inženýrství, který by mohl vést ke spuštění libovolného kódu. Adobe to blíže nerozebírá, avšak z CVE kódu dané zranitelnosti vyplývá, že první její opravu vydala už dříve.

Letos v březnu totiž belgický výzkumník Didier Stevens ukázal, jak lze zařídit, aby prohlížeč PDF souborů (a to nejenom od Adobe) dovolil spuštění programového kódu pouhým načtením dokumentu a tento postup byl záhy zneužit k hromadným útokům, a proto též pro ni Adobe vydala opravu mimo pravidelný termín (a to 29. června). Nová aktualizace ovšem zřejmě jde ještě dál, což naznačuje i text čtvrtečního věstníku.

Nové opravy Acrobatu a Readeru však zahrnují také aktualizaci Flash Playeru z předminulého týdne (viz tento bezpečnostní věstník Adobe), protože jak Acrobat, tak Reader mohou spouštět kód Flashe vložený do PDF dokumentů, takto se zabezpečí i ty počítače, které Flash Player ještě neaktualizovaly. (Mimochodem, pod Mac OS X vedle bezpečnostních oprav tato aktualizace Flash Playeru navíc aktivovala hardwarovou akceleraci dekódování H.264 videa na některých modelech Maců.)

Zmíněné chyby se vyskytovaly v Adobe Readeru a Adobe Acrobatu verzí 9.3.3 a nižších a 8.2.3 a nižších, čtvrteční opravy je povyšují na verze 9.3.4 a 8.2.4, přičemž Reader se nabízí pro Windows, Mac OS X a Linux, Acrobat přirozeně pouze pro Windows a Mac OS X.

Dotyčný bezpečnostní věstník obsahuje odkazy na stažení variant obou programů pro jednotlivé platformy, ale samozřejmě lze též použít mechanismus automatických aktualizací, který Adobe aktivovala letos v dubnu (jeho beta testování však začalo již v lednu), uživatelé ovšem musí mít takovéto aktualizace povolené (pod Mac OS X to bohužel nepracuje zcela spolehlivě).

Nové aktualizace pochopitelně opět vyvolaly diskusi o bezpečnosti softwaru Adobe, v tomto případě je však třeba připomenout, že se obdobné chyby vyskytly i u jiných prohlížečů PDF dokumentů, letos v dubnu byla vydána bezpečnostní aktualizace Mac OS X Leopard a Snow Leopard, která opravovala podobnou chybu dovolující zneužití písem v dokumentech.

A také nástroj JailbreakMe pro otevírání přístrojů s iOS využívá chyby v PDF prohlížeči iOS související ze zpracováním písem (nejnovější verze iOS, 4.0.2 a 3.2.2, tuto chybu opravují, s vlastním řešením přišla také hackerská komunita), očividně se tak jedná o obecnější problém.

Mediální přehrávač VLC 1.1.3 opravil vážnou bezpečnostní chybu a přináší další drobná vylepšení

Všechny dnešní významné platformy osobních počítačů sice dnes nabízejí nějaký vlastní mediální přehrávač, ale významnou úlohu nadále zastávají též programy třetích stran.

K velmi oblíbeným řešením, jež umí přehrávat téměř všechny možné formáty (aniž by bylo do systému třeba instalovat dodatečné kodeky) a podporuje řadu různých platforem, patří otevřený program VLC, vytvořený a dále vyvíjený skupinou vývojářů, jež si říká VideoLan.

O schopnostech VLC vypovídá tato stránka, shrnující všechny formáty, které program podporuje (VLC toho ovšem umí ještě mnohem víc, může posloužit třeba i jako streamingový server, podrobněji to probírá tenhle seriál).

Původně to přitom byl projekt studentů prestižní pařížské technické univerzity École Centrale Paris (začal již v roce 1996), postupně se ovšem rozrůstal a dnes k němu přispívají vývojáři z více než 20 zemí, historie projektu se blíže popisuje zde. Tým VideoLan samozřejmě svůj program pořád rozvíjí a minulý týden vydal další verzi přinášející opravy chyb.

Jde o verzi 1.1.3, jež především řeší potíž s narušením paměti vznikajícím v zásuvném modulu TagLib. Chyba byla vyhodnocena jako kriticky závažná, vyskytovala se ve verzích 0.9.0 až 1.1.2, teď ale je problém konečně vyřešen novou verzí.

Šlo o dost vážnou zranitelnost, protože ji útočník mohl zneužít ke zhroucení aplikace nebo k vykonání libovolného kódu, pokud by uživateli VLC podstrčil mediální soubor s vloženým škodlivým softwarem, blíže ji popisuje Vupen Security.

Tato oprava byla samozřejmě důležitá, ale jinak VideoLan popisuje verzi 1.1.3 jako drobnější aktualizaci, kromě zacelení zmíněné zranitelnosti přináší ještě několik dalších menších oprav chyb týkajících se práce s FTP servery a modulů pro podcasty a DVD, aktualizuje podporované přípony jmen souborů a skripty, upravuje některé drobnosti v uživatelském rozhraní a aktualizuje lokalizace do některých jazyků, viz tento přehled.

VLC jakožto otevřený software si lze samozřejmě stáhnout zdarma pro všechny podporované platformy odtud (pro Mac OS X se nabízejí samostatné varianty pro stroje s procesory Intel a PowerPC, pro Macy s Intely navíc existuje jak 32bitová, tak 64bitová verze programu).

Stránka pro stahování obsahuje také počitadlo stažení, jenom verze 1.x.x si celkem stáhlo již přes 176 milionů zájemců, podrobnější statistiky stahování VLC najdete tady.