Adobe cobra por solucionar vulnerabilidades

APC by Schneider Electric presenta sus UPS con tomas IRAM
14 May, 2012
Posible lanzamiento de tabletas con Windows 8 en noviembre
15 May, 2012

Adobe cobra por solucionar vulnerabilidades

Esta semana, Adobe informó sobre serias vulnerabilidades en varios de los productos más importantes de la empresa, como Photoshop, Illustrator y Flash Professional.

Los agujeros de seguridad, que hacen posible la ejecución remota de código, y potencial acceso total al sistema intervenido, afecta las versiones CS5.5 y anteriores, para las plataformas Windows y Mac. Las vulnerabilidades pueden ser utilizadas para inducir a los usuarios del software abrir archivos malignos.

La empresa de seguridad informática Secunia asigna grado “altamente crítico” a la vulnerabilidad, agregando que su estado es de “no parcheada”.

Varios de los programas de Adobe CS5 y CS5.5 presentan una vulnerabilidad crítica que no será eliminada. Adobe no tiene planes de eliminar vulnerabilidades de versiones anteriores de sus productos. Esto implica que los clientes que prefieran no estar expuestos al riesgo que éstas conllevan, deben comprar las ediciones nuevas de CS6. La actualización de Photoshop a la versión CS6 tiene, por ejemplo, un precio de 199 dólares.

Adobe recomienda la actualización explicando que soluciona varios agujeros de seguridad de nivel crítico. Las demás actualizaciones, para Illustrator y Flash Professional, también son de pago. La única actualización gratuita publicada por Adobe en mayo fue un parche para Shockwave. Boletín de seguridad de Secunia sobre la vulnerabilidad de Photoshop.

Los usuarios que prefieran no comprar las actualizaciones comerciales -por ejemplo, debido a que no necesitan las nuevas características de Photoshop- están abandonados a su suerte. A este grupo de usuarios, Adobe sólo recomienda “tomar precauciones al abrir archivos de fuentes desconocidas o no confiables”.

Adobe responde
La publicación H-online pidió a Adobe pronunciarse sobre el tema, en el sentido que, de hecho, está cobrando por actualizaciones de seguridad. La empresa respondió que los productos en cuestión no han sido, históricamente, objetivo que atacantes, y que, por lo que sabe, no hay códigos específicos que exploten las vulnerabilidades señaladas.