Adobe faalt genadeloos in aanpak zero-day lek
Adobe faalt genadeloos in de aanpak van een zero-day beveiligingslek in Adobe Reader en Acrobat, aldus beveiligingsexperts die flinke kritiek op het bedrijf hebben. De kwetsbaarheid wordt al enige tijd door cybercriminelen misbruikt. "Het was pas totdat de gasten van Shadowserver een artikel schreven dat Adobe de moeite nam om een advisory te publiceren." aldus H.D. Moore, bedenker van het Metasploit Framework. Die advisory stelt echter ook niets voor. Het biedt geen details over het lek en ook ontbreken tijdelijk oplossingen of andere workarounds. Hoewel er voor versie 9 op 11 maart een update verschijnt, is het nog steeds onbekend wanneer de oudere versies aan de beurt zijn.
"Vergelijk dit met de reactie van Microsoft op MS08-078, MS08-067 of zelfs MS06-001 en je ziet een groot verschil in hoe deze bedrijven op echte aanvallen reageren die hun gebruikers treffen" gaat Moore verder. De beveiligingsexpert vindt dat Adobe diens gebruikers in de steek laat en dat juist informatie de beste verdediging is, zeker nu criminelen het lek al misbruiken.
Wat als het Microsoft was geweest
Adobe heeft een update voor 11 maart gepland staan. "Als je gelooft dat Symantec ze op 12 februari inlichtte, is dit bijna een volledige maand verder sinds het nieuws dat er een exploit misbruikt wordt en de reactie van de vendor. Als dit Microsoft was geweest, dan had de pers ze afgeslacht. Welk deel van "je klanten worden gehackt" begrijpen ze niet?", zo vraag Moore zich af. In eerste instantie ging nog het advies rond om JavaScript in Adobe Reader of Acrobat uit te schakelen, maar inmiddels zijn er ook exploits verschenen die hier raad mee weten. Gebruikers die een alternatief voor Adobe zoeken kunnen bijvoorbeeld de Foxit Reader overwegen.
Fouten maken we allemaal maar de manier zoals software makers daarmee omgaan, is schandalig. Het zo een goed idee zijn om een boete clausule op te nemen; binnen 5 werkdagen een reactie naar de melder en binnen 14 dagen een fix (eventueel als tijdelijke oplossing).
De adobe reader is al jaren een doorn in mijn oog. Een van de weinige programma’s die als je zo dom bent om een wat oudere cd in een pc te schuiven, gewoon botweg een oudere versie van de reader op de pc installeert. (althans in het verleden. )
En update je bv de versie 8. dan kom je niet verder dan de 8.1.3, waarom ?? waarom niet bij een dergelijk versie verschil, door naar de hogere versie ??
Maar aan de andere kant kan ik me ook wel voorstellen dat het niet klakkeloos is op te lossen.
De reader / adobe, is ondertussen niet meer een eenvoudige reader. Als je tegen het licht houd wat het ding ondertussen allemaal moet kunnen, beveiliging van documenten, formulieren, enzz.
Bijna iedereen die belasting aangifte doet, is afhankelijk van adobe.
( oke, juist dat spreekt er voor om het lek snel aan te pakken, maar ook voor voorzichtigheid, om het niet erger te maken dan het al is )
Al met al natuurlijk geen excuus, maar wel een beetje begrip voor het “kip / ei “ probleem ?
Lex de Hooge
The problem is that a verification failt with a certificaat FlashUtil9b.exe VeriSign Class 3 Code Signing
check system time and date of your computer.
Adobe Flash Player Update ERROR * wrong systemdate * FlashUtil9b.exe
An error has occurred while downloading the installer.
Please make sure you systemdate is correct, are connected to the internet and
try F*ck again Adboe. 100% complete (1872 of 1872 K)
Ja, op prut computers. Was voor OS installeert automatisch software als je een CD erin stop?
Ja, op prut computers. Was voor OS installeert automatisch software als je een CD erin stop?
Hmm, blijkbaar is dat regeltje niet duidelijk genoeg voor enkeling.
Ik ging er van uit dat wel zou worden begrepen dat als ik stel
“Een van de weinige programma’s die als je zo dom bent om een wat oudere cd in een pc te schuiven, gewoon botweg een oudere versie van de reader op de pc installeert. “
Dat er dan bedoeld wordt
als je een wat oudere cd in de pc stopt, omdat mensen nu eenmaal moeilijk afstand doen van hun duur betaalde software, en de outo run / installer start op, of de eigenaar start zelf de installatie, en de maker van de cd heeft er in gezet dat er blijkbaar adobe versie x.x op moet, dan was het in het verleden zeker niet ondenkbaar, dat er meer dan 1 versie van dezelfde reader op de pc kwam te staan. ( ben ooit wel een pc tegen gekomen waar 3 verschillende versies op stonden )
Mijn excuus voor deze onduidelijkheid . ^0)
The problem is that a verification failt with a certificaat FlashUtil9b.exe VeriSign Class 3 Code Signing
check system time and date of your computer.
Adobe Flash Player Update ERROR * wrong systemdate * FlashUtil9b.exe
An error has occurred while downloading the installer.
Please make sure you systemdate is correct, are connected to the internet and
try F*ck again Adboe. 100% complete (1872 of 1872 K)
kijk de tijd na in je BIOS, die staat waarschijnlijk verkeerd, hoewel je OS de juiste tijd laat zien.
En je kan zeiken over teksten, is ook meestal niet nodig. Maar dit artikel was ook gewoon niet al te best geschreven. Zei die meneer letterlijk "de gasten van Shadoserver". Hij sprak vast Engels. 'dudes'? 'guys'? Slecht verpakte informatie helpt niet bepaald.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
