Adobe patcht ernstig misbruikt lek pas in maart
Adobe zal een ernstig beveiligingslek in Adobe Reader en Acrobat waar cybercriminelen nu misbruik van maken, pas over drie weken patchen. "Adobe zal op 11 maart een update voor Adobe Reader 9 en Acrobat 9 uitbrengen. Updates voor Reader 8 en Acrobat 8 volgen daarna, gevolgd door updates voor Reader 7 en Acrobat 7", aldus een verklaring van het bedrijf. Dat zegt wel samen te werken met anti-virusbedrijven om gezamenlijke klanten te beschermen.
Zowel versies 8 en 9 van Adobe Acrobat en Reader zijn kwetsbaar voor het zero-day lek, dat gebruikt wordt om een Trojaans paard te installeren. Wie niet wil wachten tot de update van Adobe kan JavaScript uitschakelen of overstappen op een alternatieve PDF-lezer zoals Foxit Reader.
http://www.foxitsoftware.com/pdf/rd_intro.php
Dat hoort bij basisveiligheid, dus dat zou een basisinstelling moeten zijn.
Foxit Reader is ook niet veilig.
Verder zou ik niet weten wat javascript in een document zou moeten doen. Behalve dan voor beveiligingsproblemen zorgen.
Verder zou ik niet weten wat javascript in een document zou moeten doen. Behalve dan voor beveiligingsproblemen zorgen.
CVE-2007-2186
CVE-2008-1104
CVE-2008-1942
Javascript staat standaard ook aan in Foxit Reader.
En zelfs simpele PDF readers geven nog geen garantie op veilige code.
Gewoon omdat ze teveel dingen willen doen in een publicatie document, als ik bij de KvK mijn gegevens wil wijzigen kan ik een PDF document downloaden met een ingebouwd formulier (inclusief validatie).
Heel handig, maar wat is er mis met een online formulier en een PDF document generatie?
Helaas is niet alleen Reader zo lek als een mandje.
Adobe Bridge heeft een verouderde flash player, en bijwerken is voor de normale gebruiker niet het makkelijkste wat er is.
Zelf wil ik mij er niet aan wagen die bij te werken omdat als Bridge het onverhoopt niet meer doet ik zo goed als alles weer opnieuw kan gaan installeren...
En de verouderde GDI+ library in verschillende Adobe producten.
Maar wat helemaal de kroon spant, is ze de oude Flash player plugins niet verwijderen als je een nieuwe installeert!
Ik blijf het opmerkelijk vinden dat dit soort groten bedrijven druk bezig zijn met veiligheid en verbeteringen maar dit soort (simpele) dingen vergeten of geen aandacht aanbesteden.
En daar kan hij dan best gelijk in hebben.
Kan iemand mij trouwens uit leggen waarom adobe reader meer dan 100 MB (hoorde zelfs 300 MB) groot is, tegen 10 MB van Foxit. Wat ik persoonlijk ook al groot vind, als je bedenk dat FF nog geen 8 MB groot is.
Dat je nauwelijks weet waar je over praat, blijkt al over je vergelijking van Adobe met Foxit. In de laatste zitten een paar irritante fouten. Ga zelf maar uitzoeken welke, want ik heb geen zin meer om je verder wijzer te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
