Ernstige lekken in Adobe Reader gedicht
Adobe Systems heeft onlangs een nieuwe update uitgegeven voor de Acrobat Reader. Wie de laatste versie heeft (Acrobat Reader 7.0.7) wordt dringend geadviseerd om een belangrijke security update te installeren (versie 7.0.8). De patches die hierin zijn verwerkt zijn belangrijk. De volgende kwetsbaarheden en bugfixes heeft Adobe gedicht:
A. Belangrijke bug fixes
1. Een bug die optreedt bij het openen en sluiten bij bepaalde formulieren. Dit kan lijden tot een memory leak.
2. Een bug die een aantal crashes veroorzaakt in Adobe Reader
3. Verschillende bugs die security gerelateerd zijn, waarvan er 1 de status kritiek heeft. Deze staat in de lijst hieronder beschreven.
B. Kwetsbaarheden
1. Een kwetsbaarheid die, als het wordt uitgebuit, kwaadaardige code kan uitvoeren zonder dat de gebruiker iets in de gaten heeft. Het lek wordt als KRITIEK bestempeld.
2. Een kwetsbaarheid die, indien dit wordt uitgebuit compromittering van data security mogelijk maakt, waardoor er toegang kan worden verkregen tot vertrouwelijke data. Ook is de compromittering van z.g. processing resources mogelijk in het systeem. Het lek wordt als BELANGRIJK bestempeld.
3. Een kwetsbaarheid wegens de default configuratie auditing, maar zou moeilijk uit te buiten zijn. Het lek wordt als GEMIDDELD bestempeld.
4. Een niet nader genoemde kwetsbaarheid die zeer moeilijk is uit te buiten. Het lek wordt als LAAG bestempeld, maar is toch door Adobe gerepareerd in de laatste patch.
Al deze bugfixes en kwetsbaarheden zijn gedicht in Adobe Reader 7.0.8. Na het installeren dient de computer opnieuw opgestart te worden. Wie Adobe Reader heeft, kan via help > nu de security update binnenhalen.
Met dank aan Peter V. voor het melden van dit nieuws
dagen later dat ook Adobe Reader lek te zijn voor het besturingsysteem
Windows.
De Waarschuwingsdienst had er toen al aandacht aan besteed, maar
vindt een extra waarschuwing voor Windows niet nodig, alhoewel Adobe
Systems aan Windows gebruikers adviseert om deze patch zo snel
mogelijk te installeren.
Wie dus de Reader heeft, moet via de update functie de laatste patches
ophalen.
beginnen met reader, naast dat het traag is en slecht
afgesloten wordt zitten er dus ook nog bakken met bugs in.
moeten blazen. Het kritieke security issue gaat enkel en
alleen om Adobe Reader Mac OS X. Er zijn nog een aantal
andere security issues voor windows die allen als "low"
geclassificeerd:
http://www.adobe.com/support/techdocs/327817.html
Ik quote: "Several security bug fixes have been made, with
one considered critical for the Macintosh OS and several
considered to have a low rating for Windows."
Daarnaast is aan mij persoonlijk bevestigd door Adobe's
PSIRT dat het critical issue enkelt op de Mac bestaat. De
pagina hierboven gelinked was namelijk nog vager qua
beschrijving enkele dagen geleden; toen stond er alleen: "A
critical security issue has been fixed."
Peter, Ik ben benieuwd wat jou bronnen precies zijn m.b.t.
de severity ratings die in je artikel staan? Volgens Adobe's
PSIRT zijn er geen moderate of important's voor Windows (of
Gemiddeld en Belangrijk zoals jij ze noemt).
Greets,
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
