Adobe: Schakel JavaScript uit in PDF-lezer
Adobe heeft bevestigd dat er twee zero-day beveiligingslekken in Adobe Reader en Acrobat zitten, waardoor aanvallers volledige controle over kwetsbare systemen kan krijgen als het slachtoffer een kwaadaardige PDF opent. In tegenstelling tot vorige kwetsbaarheden komt Adobe nu wel met een concrete oplossing, namelijk het uitschakelen van JavaScript. De twee lekken zijn aanwezig in Adobe Reader en Acrobat 9.1, 8.1.4 en 7.1.1 en eerdere versies voor Windows, Mac OS X en Unix. Volgens het bedrijf zijn er op dit moment geen exploits in omloop, maar houdt het de situatie in de gaten. JavaScript is op de volgende manier uit te schakelen:
1. Start Acrobat of Adobe Reader.
2. Kies Edit>Preferences
3. Kies de JavaScript Categorie
4. Verwijder het vinkje bij ‘Enable Acrobat JavaScript’ option
5. Kies OK
Gebruik een alternatief
Het zoveelste beveiligingslek in Adobe Reader en Acrobat is koren op de molen van de Finse virusbestrijder F-Secure. Onlangs liet het weten dat de software te onveilig is om te gebruiken. "We hebben het al eerder gezegd, maar het is het waard om te herhalen - gebruik een alternatief voor Adobe Acrobat Reader. We geven niet de voorkeur aan de één boven de ander, maar het is beter als mensen allemaal verschillende lezers gebruiken", aldus Patrik Runald. Hij verwijst gebruikers door naar pdfreaders.org of naar alternatieven als Foxit Reader en CutePDF.
en biedt een "JavaScript Console" (via Advanced).
Ook Foxit Reader ondersteunt javascript (uit te schakelen via Edit, Preferences, JavaScript)
en biedt een "JavaScript Console" (via Advanced).[/quote]Zou ik maar doen, want zodra er in een bepaald gebied van een product met een kwetsbaarheid gevonden wordt, blijkt het ineens interessant te zijn om bij vergelijkbare producten "in de buurt" te gaan zoeken.
Zo zijn er, nadat bij Acrobat de JBIG2 kwetsbaarheid bekend werd, er "ineens" 10 min of meer aan JBIG2 code gerelateerde kwetsbaarheden in [url=http://lists.grok.org.uk/pipermail/full-disclosure/2009-April/068853.html]xpdf[/url] gevonden (op 2009-apr-16 is een [url=http://www.foolabs.com/xpdf/download.html]Xpdf v3.02pl3 verschenen[/url] maar de [url=http://www.foolabs.com/xpdf/CHANGES]changelog[/url] op de webpage gaat momenteel niet verder dan 2007-feb-27).
Ook andere PDF viewers (waaronder Foxit) kwamen niet ongeschonden uit de JBIG2 strijd. De enige reden om geen Acrobat te gebruiken lijkt te zijn dat deze het meest gebruikt wordt, kwetsbaar voor JBIG2 vulnerabilities waren geloofik zo'n beetje alle PDF viewers. Ben benieuwd of deze nieuwe kwetsbaarbaarheid vergelijkbare watervallen tot gevolg heeft...
Het zijn opties die je eigenlijk niet verwacht nodig te hebben om PDF te lezen, en dus niet uitzet op het momen dat je een programma installeert omdat je niet weet dat ze erin zitten.
Zelfs als het niet gevaarlijk zou zijn, maakt het je systeem onnodig zwaar omdat je het met de meeste PDF's niet nodig hebt. Opt-In op het moment dat je een PDF opent die script nodig heeft zou beter zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
