KOMPANIJA ADOBI SISTEMS (ADOBE Systems) objavila je u utorak nove verzije Ridera (Reader) 10.x i 9.x pošto je otklonila četiri slabosti vezane za izvršavanje koda i unela nekoliko promena koje se tiču bezbednosti, uključujući i uklanjanje jedne komponente Fleš plejera iz verzija 9.x.

Sve uklonjene slabosti mogle su se upotrebiti da se Rider sruši ili da se preuzme kontrola nad sistemom, navedeno je u objavljenom bezbednosnom biltenu APSB12-08. Korisnicima se savetuje da što pre instaliraju novu verziju.

Kompanija je takođe objavila da Rider 9.5.1 više ne sadrži datoteku authplay.dll, biblioteku Fleš plejera koja je isporučivana u prethodnim verzijama programa kako bi se omogućilo prikazivanje Fleš sadržaja ugrađenog u PDF dokumente. Njeno prisustvo je u prošlosti prouzrokovalo neke bezbednosne probleme, pre svega zbog nekonzistentnog rasporeda ažuriranja Ridera i Fleš plejera.

Authplay.dll sadrži većinu koda samostalnog Fleš plejera, što znači da sadrži i većinu njegovih bezbednosnih propusta. Međutim, Fleš plejer se krpi kad se ukaže potreba, a Rider jednom u tri meseca. Zbog toga su se javljale situacije da su neke poznate slabosti zakrpljene u Fleš plejeru ali su mesecima ostajale neizmenjene u datoteci authplay.dll, sve dok ne stigne vreme za redovno tromesečno nadograđivanje Ridera.

Takav je slučaj i u novoj verziji Ridera 10.1.3, koja sada sadrži tri zakrpe Fleš plejera objavljene odvojeno u poslednja tri meseca.

Počev od Ridera 9.5.1, sve verzije 9.x koristiće samostalni modul Fleš plejera koji je već instaliran za Mozilin Fajerfoks (Mozilla Firefox), Eplov Safari (Apple Safari) ili Operu, kako bi reprodukovao Fleš sadržaj u PDF dokumentima.

Ova funkcionalnost neće raditi s ActiveX modulom Fleš plejera za Mikrosoftov Internet eksplorer (Microsoft Internet Explorer) ili sa specijalnim modulom Fleš plejera za Guglov Hrom (Google Chrome).

Adobi planira da ukloni authplay.dll i iz Ridera serije 10.x i trenutno priprema API interfejs koji će to omogućiti, navodi se u posebnom saopštenju objavljenom u utorak.

Specijalisti za bezbednost pozdravljaju odluku da se authplay.dll ukloni iz Ridera, jer će to olakšati rešavanje problema u Flešu. Međutim, smatraju da podrazumevana opcija kojom se u Rideru podržava Fleš sadržaj u PDF dolukmentima treba da bude isključena, jer većini korisnika takav sadržaj nije potreban a od ranije se zna da je korišćen da kompromituje sisteme korisnika Ridera.

Adobi je u Rideru 9.5.1 primenio upravo taj pristup na prikazivanje 3D sadržaja. Podrazumevano stanje ove opcije je da je isključena, jer se najčešće ne koristi, a pod izvesniom okolnostima bi se mogla iskoristiti za napade.

Pored bezbedosnih zakrpa i pomenutih promena, Adobi je odlučio i da prekine striktno tromesečno nadograđivanje Ridera i Akrobate (Acrobat) i vrati se na raniju praksu krpljenja čim se ukaže potreba.