Ik kom het in bedrijven (helaas) al te vaak tegen: Adobe
Readers die nooit enige update hebben gekregen. Als het
bovenste verhaal klopt dan lopen er nogal wat bedrijven
behoorlijk wat risico...

UPDATE:
Volgens het ISC is dit lek NIET uit te buiten als men
gebruik maakt van Adobe Acrobat/Reader versie 8.

Voor wie het dus nog niet gedaan heeft wordt aangeraden om
naar de nieuwste Reader over te stappen.

Allemaal overstappen op Lynx!

In hoeverre zijn hier levens mee gemoeid dan? In ieder geval
niet direct (ik kan het mij tenminste niet voorstellen).
Ziekenhuispc's die verbonden zijn aan
patientbewakingsapparatuur hebben geen koppeling met
Internet - of pdf bestanden - nodig.

Wat voor direct levensgevaar zou er nog meer aan een pdf
bestand in een browser met een achterlijke plugin kunnen
kleven?

Volgens een blogger zou alleen FF in combinatie met
PDF-plugin kwetsbaar zijn. Ik kan het van hieruit niet
controleren of dit waar is. Misschien dat iemand deze PoC
eens zou willen uitproberen? (wel op eigen risico natuurlijk)

De idoot die bedacht heeft dat het wel handig zou zijn om
javascript in PDF's te bakken moeten ze....

Ja want daar is nooit iets mis mee....

http://www.frsirt.com/english/advisories/2005/2394
http://www.securityfocus.com/bid/15395/info
Ok het is een ouwetje maar het gaat om het idee..

Net zoveel als bij ad- en spyware of een gemiddeld virus. Geen direct levensgevaar maar ik zou het spul niet actief op m'n bedrijfsnetwerk willen hebben..

Heb even gekeken met IE en Firefox en het lijkt er inderdaad
op dat het alleen met Firefox een probleem is.

Als we Java tijdelijk in Acrobat uitschakelen, is dat dan voldoende?

Allemaal overstappen op Foxit Reader! Bedoel je!

Nee, overstappen naar een browser zonder plugins. Daarmee voorkom je
ook toekomstige problemen. Lynx dus.

Of gewoon de .pdf in de reader laten openen, dit is gewoon
een instelling in de reader zelf te maken.

Dat is hetzelfde als vragen of het helpt de stop eruit te
trekken om de kraan te laten stoppen met lekken. Java is
niet hetzelfde als Javascript.
Of het uitschakelen van Javascript dan helpt? Waarschijnlijk
net zoveel als het de kraan goed dichtdraaien. Je bent
uiteindelijk beter af met een update dan een lapmiddel.

Overstappen op IE dus :-)

Dat is ook niet zonder risico. De file wordt dan op een andere manier aan de reader aangeboden (pure speculatie, niet getest: wellicht in een andere directory geplaatst dan normaal) waardoor het zo zou kunnen zijn dat die reader uitgaat van "local content" in plaats van iets gevaarlijks afkomstig van het Internet. Hoever Adobe met haar Javascript interpreter in haar PDF reader gaat weet ik niet, maar dergelijke potentieele "sandbox" fouten sluit ik liever uit.

Let wel, een PDF file (feitelijk elk type file) kan je worden opgedrongen zonder dat je er erg in hebt, dus ook als je op een URL klikt die eindigt op .htm, .php of zelfs .txt: het (onzichtbaar in je browser) via http meegestuurde MIME type bepaalt meestal wat je browser er mee doet. Zie http://msdn.microsoft.com/workshop/networking/moniker/overview/mime_handling.asp
voor alle (bijna onvoorspelbare) kunsten die MSIE uithaalt op dat gebied. Uit die page:oftewel MSIE behoudt zich het recht voor om de extensie van een file die je downloadt te wijzigen. Ik vermoed dat Firefox iets dergelijks doet.

Zelf heb ik al een tijd geleden mijn Firefox instellingen zo gewijzigd dat alle bekende filetypes naar disk worden gesaved. In m'n Engelstalige Firefox: Tools, Actions, Downloads, View and Edit Actions..., alle filetypes (.DOC, .XLS, .PPT, .PDF t/m .WMF): Save to Disk.

Als ik op de exploit klik krijg ik de vraag waar of ik "Tips_Tricks_85x11.pdf" wens te saven (verder gebeurt er natuurlijk niks). En als ik PDF's op m'n schijf zet gebruik ik eerst Foxit om ze te bekijken (die voert, voor zover mij bekend, geen Javascript uit in PDF's). Foxit is zeker geen foutloze PDF reader maar geeft in de meeste gevallen een goede indruk van het document.

Edit: typo

Ik maak vele invulbare pdf files , die dingen zijn hoewel tijdrovend om te
maken toch erg handig hoor !!

Mocht je dit willen voorkomen bij je bezoekers, dan zijn PDF
bestanden op zodanige wijze aan te bieden dat ze niet in de
browser plugin geopend worden. Mensen die op een PDF-link
klikken krijgen dan gewoon de "Open / Save" dialoog te zien.
Als ze dan voor "Open" kiezen wordt de PDF door Acrobat
Reader geopend, niet door de browser plugin. Zie voor meer
info http://www.stuvel.eu/pdfdownload

En toch... Actieve content inbouwen in iets wat tot dan toe
echt statisch was en daarmee toch behoorlijk betrouwbaar, is
m.i. niet echt slim geweest. Nu kun je dus ook geen PDF's
meer vertrouwen (vanwege de actieve content). Ik weigerde al
om Office documenten te accepteren, diverse (MS) audio/video
bestandsformaten en nog wat los spul vanwege het actieve
karakter, daar kan PDF nu aan toegevoegd worden. (Ja ik
gebruik ook noscript ;) Better safe then sorry..

Hmm, ik vertrouw op de interactie van nod32 wat betreft deze bestanden,
je komt bijna niet meer onder pdf files uit tegenwoordig.

De actieve (zoals ik ze maak) zie ik eigenlijk nog niet zo heel veel langs
komen, ze zijn gewoon te duur om te maken (tijd is immers geld)

Dit is overigens ook met lokale pdf bestanden mogelijk.
file:///C:/Program%20Files/Adobe/Acrobat%207.0/Resource/ENUtxt.pdf#blah=javascript:alert("XSS");

En ja, hiermee is het idd mogelijk bestanden van de harde
schijf uit te lezen.

foxit reader heeft standaard geen javascript, maar met een
uitbreidingsmodule kan dit wel toegevoegd worden. Javascript
is echter alleen handig bij validatie van PDF-formulieren,
en wie zit daar nu echt op te wachten?

Laten we gewoon overstappen naar een of ander onbekend
readertje i.p.v. updaten naar versie 8. Waarom moet het
makkelijk? het kan namelijk ook moeilijk!