"JavaScript advies Adobe Reader werkt niet"
Op 28 april werden twee ernstige beveiligingslekken in Adobe Reader en Acrobat ontdekt, maar het advies dat Adobe geeft in afwachting op een update is geen goede oplossing, aldus een security officer. De ontwikkelaar is van plan om op 12 mei een update uit te brengen, in de tussentijd moeten gebruikers JavaScript uitschakelen. Dit zorgt er echter voor dat gebruikers een dialoogvenster te zien krijgen waarin staat dat het document JavaScript bevat en het uitschakelen hiervan voor problemen kan zorgen. Het venster vraagt vervolgens of de gebruiker JavaScript weer wil inschakelen.
"Dit werkt niet, het schakelt JavaScript niet uit. Het toont de gebruiker alleen een vaag dialoogvenster waarin staat dat ze iets niet kunnen zien omdat JavaScript is uitgeschakeld. Raad eens? De meeste gebruikers staan JavaScript toe!", aldus een ontstemde Eric Cabetas. Hij is bang dat binnen bedrijven het meeste personeel gewoon "Ja" kiest, omdat ze in het geval van security waarschuwingen geleerd is dat te doen.
Leer van Microsoft
Volgens Randy Abrams van virusbestrijder ESET, kan Adobe niet van het verleden leren of het zich herinneren. "De toevoeging van JavaScript aan Acrobat vergroot het aanvalsoppervlak van Acrobat documenten. Microsoft heeft de kracht van macro's al vele jaren geleden geleerd en ze toen in Word uitgeschakeld, tenzij de gebruiker die bewust inschakelt. Adobe aan de andere kant schakelt JavaScript in, wat net zo krachtig als macro's is, en waarschuwt de gebruiker niet voor het verhoogde risico waaraan die is blootgesteld."
Ook in het geval van Autorun, heeft Microsoft zijn lesje geleerd en zal het deze aanvalsvector in Windows 7 uitschakelen. "Terwijl Microsoft de beveiliging verbetert, moddert Adobe voort en leert het niet de lessen van macro virussen. Acrobat was ooit een veilig alternatief voor Word. Vandaag de dag is dat helemaal niet meer het geval."
maar AD0BE blijkt gewoon eigenwijs wezen en niets willen toegeven. Ik zou zegen tegen AD0BE ga lekker zo door
met dom strategie!
> waarschuwingen geleerd is dat te doen.
Wat zijn dat voor absurde bedrijven? Waar ik heb gewerkt werd je in zo'n geval verondersteld om bij systeembeheer na te vragen voor je iets zo stompzinnigs deed (of iedereen zich daaraan hield is een tweede...).
Bovendien, je HEBT VERDORIE NET JS IN ADOBE READER UITGEZET?! Dan ben je toch een volslagen idioot als je na die waarschuwing op Ja klikt?
Los daarvan, waarom zou je javascript nodig hebben om een pdf te lezen?
Foxit heb ik overigens jaren geleden eens geprobeerd. Was traag en het gepresenteerde document zag er niet uit. Is het intussen echt zoveel verbeterd?
Redactie: die captcha's zijn niet te lezen.
Redactie: die captcha's zijn niet te lezen.
www.hansanders.nl ???
en ik vind de weergave uitstekend.
Het enige probleempje dat ik met Foxit Reader af en toe tegenkom, dat is dat bij kopiëren van stukjes uit een door Foxit weergegeven pdf, en plakken in een ander document (bijvoorbeeld in plain text, of doc), sommige beginhoofdletters van woorden niet worden weergegeven als hoofdletters maar als kleine letters. Ik heb nog geen idee of dat een Foxit-bugje is of een fout in het oorspronkeleijke document.
Het lek is alleen in Adobe Reader, niet in Foxit Reader.
Uitzetten van JavaScript is sowieso aan te bevelen
Alleen Adobe Reader is lek, maar desondanks is het ingeschakeld staan van JavaScript in Foxit Reader doorgaans onnodig, en het uitschakelen van die optie veiligheidshalve waarschijnlijk verstandig en dus aan te bevelen, als ie uit kan en mag.
Zie [url=http://www.security.nl/artikel/27823/1/Ook_lekken_in_Adobe_alternatief_Foxit_Reader.html]
Je kan Sumatra als alternatief proberen.
WAT MOET JAVA in een DOCUMENT ???
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
