В Adobe Reader выявлены новые уязвимости

Александр Панасенко 29 Апреля 2013 - 16:03

...

Антивирусная компания McAfee сообщила об обнаружении новой уязвимости в программном обеспечении Adobe Systems Reader, которая проявляется в тот момент, когда пользователь уже открыл и просматривает PDF-файл при помощи данной программы. В компании говорят, что уязвимость не является критической и не позволяет проводить удаленного исполнения кода. В то же время, антивирусная компания сообщает, что уведомила Adobe о проблеме.

Хайфей Ли, антивирусный аналитик McAfee, говорит, что ими было обнаружено необычное поведение системы, когда они работали с некоторыми файлами в формате PDF. По его словам, компания передала в Adobe подробную информацию об уязвимости и до выхода соответствующего патча она не будет разглашать технических сведений о баге, пишет cybersecurity.ru.

В блоге McAfee дается лишь общее описание проблемы. Согласно описанию, когда кто-то просматривая PDF-файл, нажимает на ссылку в документе, которая ведет на другую часть документа, происходит вызов JavaScript API и злоумышленники, которые хотели ввести читателя в заблуждение, могут перевести его не на другую часть документа, а на злонамеренный интернет-ресурс, замаскировав в гиперссылке URL-адрес. Кроме того, McAfee сообщила о выявлении недостаточной защищенности в системе возврата TCP-трафика в Adobe Reader.

Вдобавок к этому, пользователи, могут манипулировать некоторыми параметрами, контролирующими ссылки, чтобы собрать несанкционированные данные о целевом компьютере. McAfee отмечает, что последнее даже в принципе не является каким-то багом Reader, а лишь отражает суть JavaScript, однако учитывая широкие полномочия Reader в системе, разработчику было необходимо ограничить диапазон работы Javascript API в случае с Reader. Также антивирусная компания замечает, что выявленные баги не позволяют полностью компрометировать компьютер, но они позволяют собирать критически важные целевые данные, которые можно использовать во время последующих атак.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:22

Avanpost SSO Малый и средний бизнес Корпорации Системы аутентификации Токены и устройства аутентификации Средства генерации одноразовых паролей (OTP)Системы управления аутентификацией Аванпост

Avanpost представила E-Passport — цифровой паспорт для бесшовного SSO

Компания Avanpost представила новую технологию E-Passport, которая стала частью продукта Avanpost Unified SSO. По сути, речь идёт о цифровом «паспорте» сотрудника, который привязывается не к паролю, а к устройству и защищённой сессии. E-Passport работает как цифровой идентификатор пользователя на личном (BYOD) или корпоративном устройстве и реализован в виде криптографической пары ключей.

Эта связка превращает рабочее место и мобильное устройство сотрудника в защищённое хранилище сессии через Avanpost Authenticator и позволяет безопасно передавать её между устройствами без риска перехвата.

Технология лежит в основе бесшовной аутентификации во всех корпоративных системах — от веб-сервисов до классических десктопных приложений. Сотруднику достаточно один раз пройти аутентификацию, после чего он автоматически получает доступ ко всем нужным внутренним ресурсам без постоянного ввода паролей. При этом единая сессия остаётся защищённой и соответствует принципам Zero Trust.

В Avanpost подчёркивают, что Unified SSO с E-Passport решает сразу несколько задач. Во-первых, обеспечивает криптографически стойкую защиту от перехвата и клонирования сессий — даже если пароль скомпрометирован. Во-вторых, объединяет веб- и десктоп-приложения в одну сессию с поддержкой централизованного завершения работы (Single Logout).

В-третьих, позволяет непрерывно контролировать защищённость сессии и при необходимости принудительно завершать её как в приложениях, так и на рабочих станциях под управлением Windows и Linux.

Один из типовых сценариев использования E-Passport — когда сотрудник проходит аутентификацию один раз при входе в систему и дальше работает со всеми корпоративными сервисами без дополнительных запросов логина и пароля. Такой подход снижает нагрузку на ИТ-поддержку, ускоряет рабочие процессы и одновременно повышает уровень безопасности.

«E-Passport позволяет компании перейти к архитектуре Zero Trust, в которой каждый запрос, устройство и пользователь постоянно проверяются, а привязка цифровой идентичности к устройству становится новым стандартом защищённого доступа», — отметил Дмитрий Грудинин, владелец линейки продуктов Avanpost Access.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »