image

"PDF eigenlijk onveilig bestandstype"

maandag 24 maart 2008, 09:53 door Redactie, 15 reacties

Op 7 februari kwam Adobe met een beveiligingsupdate voor haar Reader en Acrobat software. Amper vier dagen later verscheen er een Trojaans paard dat de kwetsbaarheid misbruikte. Inmiddels is er een variant van de malware ontdekt die tijdens een gerichte aanval tegen de Zuid-Koreaanse overheid is ingezet. Het aangeboden PDF document bevat een artikel over de politieke carrière van President Roh Moo-hyun. Eenmaal geopend wordt er een keylogger geinstalleerd, die op verschillende momenten de verzamelde toetsaanslagen naar de aanvallers terugstuurt.

"De dagen dat PDF documenten als veilig werden beschouwd zijn voorbij," zegt Numaan Huq van virusbestrijder Sophos. Sinds vorig jaar de exploits voor Adobe een geliefd wapen van aanvallers werden, is het gedaan met het onkreukbare imago van het bestandstype.

De aanvallers kunnen hun gang gaan omdat veel consumenten en bedrijven traag zijn met het updaten van hun Adobe software. "De verspreiding van dit Trojaanse paard bewijst dat er waarschijnlijk een zeer grote groep van ongepatchte Adobe Acrobat en Read installaties is die slachtoffer van deze kwaadaardige PDF documenten worden." Eerder werd bekend dat 61% van de beveiligingsbewuste gebruikers een lekke Adobe Acrobat of Reader versie draait.

Reacties (15)
24-03-2008, 10:07 door Regenpak
Misschien een goede reden om de opgeblazen Adobe Reader te
vervangen door de eveneens gratis maar veel lichtere Foxit
Reader. Of door Evince met (Ubuntu) Linux als OS te gebruiken.
24-03-2008, 10:16 door Anoniem
Ik ben het eens met Regenpak, het probleem licht hem niet
bij het pdf formaat, maar bij Acrobat Reader.
24-03-2008, 12:05 door Anoniem
De veiligheid van pdf is volgens mij verdwenen sinds ze
scripting mogelijkheden hebben ingebakken, een optie die ik
dan ook direct na installatie of upgrade uitzet.
24-03-2008, 12:49 door Ronald van den Heetkamp
Alles terug naar ASCII zoals het hoort.
24-03-2008, 13:09 door Anoniem
ik vond het eigenlijk altijd al opmerkelijk dat adobe zelf
van alle reader die ik heb geprobeerd de minst fijne leverde
24-03-2008, 15:14 door Bitwiper
Adobe [url=http://www.adobe.com/support/security/advisories/apsa08-01.html]vermeldt hier[/url] dat voor versie 7 van Acrobat en Acrobat Reader pas eind mei een patch zal verschijnen (voor een aantal kwetsbaarheden, zie genoemde webpage).

De belangrijkste bug lijkt te maken te hebben met [url=http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=657]ordinaire buffer-overflows bij het inlezen van javascript[/url]. Begin februari [url=http://isc.sans.org/diary.html?storyid=3958]meldde iDefense via SANS[/url] dat van een exploit die zij in het wild gevonden hadden [url=http://www.virustotal.com/analisis/372ecd6435eb0bd66b8dbd1c1ef4b4b9]door geen enkele virusscanner werd herkend[/url], ondanks dat iDefense deze exploit PDF al aan alle AV fabrikanten beschikbaar had gesteld.

Ik heb PDF documenten nooit als erg veilig beschouwd, en sinds de introductie van Javascript er in al helemaal niet. De laatste Foxit reader die standaard geen Javascript interpreter aan boord heeft is meen ik versie 2.0 build 1606, en deze is nog [url=http://www.foxitsoftware.com/foxitreader/foxitreader.zip]hier[/url] te downloaden (een Javascript interpreter hiervoor is beschikbaar als een addon, als een pdf file javascript bevat word je gevraagd of je deze wilt downloaden). Een vergelijking tussen de laatste Foxit versies vind je [url=http://www.foxitsoftware.com/pdf/reader_2/vercompare.htm]hier[/url]. Let op: van de laatste versie(s) melden users op [url=http://fileforum.betanews.com/detail/Foxit_PDF_Reader/1102316680/1]Betanews[/url] dat ongevraagd (?) Yahoo Toolbar + Messenger zouden zijn geïnstalleerd.

Behalve [url=http://www.securityfocus.com/bid/23576/exploit]deze DoS exploit[/url] (deze laat Foxit Reader 2.0 build 1606 crashen, lijkt een buffer-overflow te veroorzaken) zijn voor de 2.0 versie (bij mijn weten) geen serieuze exploits bekend. Of genoemde DoS exploit misbruikt kan worden voor het uitvoeren van code weet ik niet. De kans dat er malware voor Foxit verspreid wordt is echter veel kleiner dan voor Acrobat vanwege het aantal gebruikers.
24-03-2008, 21:28 door Anoniem
Dat roept Microsoft ook al jaren over haar Microsoft Access
mdb bestandformaat. Dat komt ze ook heel makkelijk uit,
sinds ze het zo noemen hebben ze geen enkele update meer
uitgegeven voor gevaarlijke afhandeling van die bestanden.
Scheelt ze bergen met geld, tijd en constant moeten toegeven
dat hun formaat weer vatbaar is. Nu zijn ze er in een keer
vanaf geweest en hoor je er niemand meer over. Hoe een
onveilig bestandsformaat voor extra zekerheid voor de
toekomst zorgt voor je eigen bedrijf.
24-03-2008, 22:03 door Anoniem
Voor mensen die met GPO's bekend zijn is deze link een aanrader :
http://kb.adobe.com/selfservice/viewContent.do?externalId=kb400540

Sindsdien heb ik het voor 50+ werkstation binnen 10 min klaarstaan, moeten
alleen de werkstations een keer rebooten.
24-03-2008, 22:53 door Bitwiper
Door Anoniem
Dat roept Microsoft ook al jaren over haar Microsoft Access mdb bestandformaat. Dat komt ze ook heel makkelijk uit, sinds ze het zo noemen hebben ze geen enkele update meer uitgegeven voor gevaarlijke afhandeling van die bestanden. Scheelt ze bergen met geld, tijd en constant moeten toegeven dat hun formaat weer vatbaar is. Nu zijn ze er in een keer vanaf geweest en hoor je er niemand meer over.
Dacht het niet, zie [url=http://www.security.nl/article/18363/1/Hackers_misbruiken_nieuw_lek_in_Microsoft_Word_%2Aupdate%2A.html] deze thread van afgelopen zaterdag[/url]
25-03-2008, 09:06 door SirDice
Door Anoniem
De veiligheid van pdf is volgens mij verdwenen sinds ze scripting mogelijkheden hebben ingebakken, een optie die ik dan ook direct na installatie of upgrade uitzet.
Hier ben ik het mee eens.. Het was ooit een relatief veilig bestandsformaat.
25-03-2008, 09:53 door Anoniem
En dan te bedenken dat pdf ooit ontwikkeld is als alternatief voor Postscript.
Omdat dat laatste te scripten was werd het als onveilig beschouwd en
vervangen door het destijds "lichtere" pdf...
25-03-2008, 12:03 door Nomen Nescio
Door Regenpak
Misschien een goede reden om de opgeblazen Adobe Reader te
vervangen door de eveneens gratis maar veel lichtere Foxit
Reader. Of door Evince met (Ubuntu) Linux als OS te gebruiken.
Heb ik dan ook al een hele tijd geleden gedaan.
25-03-2008, 12:26 door rberkers
Door Ronald van den Heetkamp
Alles terug naar ASCII zoals het hoort.

Ha ja... kunnen we weer ASCII-wars hebben zoals vroeger op
Fidonet :P
26-03-2008, 10:48 door Anoniem
Waarom hebben jullie deze software nog op je pc staan als je doch het
meeste er van uitschakelt , of hem zo slecht vind.
Maar ja de meesten die hier op deze site komen schrijven hebben geen of en
manke security op hun pc , Windows updaten ze zelden of nooit en een
Antivirus kennen ze niet .
En dan maar klagen over slechte software van Adobe.
Heb er zelf nog nooit wat mee voor gehad maar ik klik dan ook niet op alles
wat ik voor mij op het scherm krijg zoals sommige.
27-03-2008, 08:04 door Anoniem
Mensen, dit heeft niks met het PDF formaat zelf te maken,
dit heeft te maken met de PDF reader van Adobe. PDF
eigenlijk onveilig bestandstype is dan ook een hele
verkeerde conclusie van dit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.