Nieuws

"Arrogante Adobe weigert Microsoft lessen te leren"

maandag 21 december 2009, 10:21 door Redactie, 6 reacties

Adobe PDF bestanden hadden een veilig alternatief voor Microsoft Word documenten moeten worden, maar de werkelijkheid is dat bedrijven en thuisgebruikers die de software gebruiken een zeer eenvoudig doelwit voor hackers zijn. Microsoft worstelde een aantal jaren geleden met het beschermen van Word bestanden tegen macro-virussen en ook een beveiligingsmodel in Office ontbrak. "Tijden veranderen", zegt Randy Abrams van anti-virusbedrijf ESET. Word documenten worden nauwelijks nog gebruikt voor het verspreiden van macro-virussen. "In een ongekend vertoon van arrogantie weigert Adobe van de geschiedenis te leren. Adobe heeft de eigen producten inferieur voor beveiliging ingesteld, waarbij het bewust kiest om de security lessen die Microsoft jaren geleden leerde, niet te leren."

Volgens Abrams zijn beveiligingslekken in Adobe Reader en Acrobat een gigantisch probleem. De meeste exploits vereisen JavaScript om te werken, maar dit staat standaard in de software ingeschakeld, terwijl de meeste PDF bestanden dit niet nodig hebben. Het uitschakelen van JavaScript in Adobe is eenvoudig te doen. "Zo had Adobe de standaard instellingen moeten instellen, als ze tenminste naar hun beveiligingsexperts in plaats van hun marketingafdeling hadden geluisterd."

Helpdesk voor botnetbeheerders

Conficker infecteert 3000 computers zorgverlener

Reacties (6)

21-12-2009, 10:51 door Anoniem

ESET he?

Zag daar iets over op deze site vandaag :P

21-12-2009, 11:20 door H.King

Wederom een antivirus bedrijf die met nutteloze informatie komt in de hoop op gratis publiciteit waar security.nl natuurlijk graag aan mee werkt. Maarjah als ze zo hun publiciteit niet krijgen gaan ze wel weer 1 of ander dom kiddy virus hypen.

21-12-2009, 11:21 door Syzygy

Wat een trekdrop dit onderwerp

21-12-2009, 11:30 door bernd

Adobe PDF bestanden hadden een veilig alternatief voor Microsoft Word documenten moeten worden

was het niet zo dat pdf juist ontwikkeld is om te voorkomen dat de ontvanger deze bestanden kan wijzigen? ging het niet om een soort voorloper van DRM? Dit is beveiliging op en heel ander niveau.

Hoewel adobe reader "zo lek als een mandje" is, is dit in de meeste gevallen op te lossen door de gebruiker niet als admin in te laten loggen op het werkstation. Elk programma dat de gebruiker draait is dan een veiligheidsrisico, omdat elk programma dan alles mag op de machine.

Het is natuurlijk makkelijk om te wijzen, maar als MS jaren geleden al had bedacht dat de -bij de installatie- aangemaakte user geen adminrechten zou mogen hebben, dan waren de botnets een stukkie kleiner geweest. Bovendien zouden softwaremakers hun software beter testen op gebruik zonder admin rechten. Na het introduceren van UAC zag je binnen de kortste keren dat er in de mijn-eerste--computer-tijdschriften handleidingen staan om deze vervelende pop-ups te verwijderen.... de gebruiker en de bladen hebben op dit gebied duidelijk ook wat opvoeding nodig.

waar gaat het mis?
- omdat beveiliging en gebruiksgemak/vrijheid zelden samengaan,
- computergebruikers onverantwoord omgaan met hun pc.
- softwarefabrikanten gebruik moeten kunnen maken van de windowsupdate en wsus functionaliteit voor het verspreiden van patches in plaats van allemaal eigen updaters die vervolgens niet te beheren zijn of door de firewall tegen worden gehouden... (moet MS natuurlijk beschikbaar stellen)
- softwarefabrikanten een ranzig patchbeleid hebben

21-12-2009, 11:43 door Anoniem

@bernd: pdf is juist ontwikkeld omdat de vooroper ervan, Postscript, als mogelijk onveilig werd beschouwd omdat dat scripting ondersteunt, en dat was meestal toch nergens voor nodig. Pdf werd toen als een display-only formaat gepresenteerd. En nu wordt er dus weer allerlei onzin ingebouwd waardoor het weer net zo onveilig wordt.

21-12-2009, 13:38 door Anoniem

En Adobe is net een struikvogel die zijn kop in zand stopt. Met een klik op muis is het eenvoudig om JavaScript weer inteschakelen na download van belastingformulier, Adobe brengt ons beveiliging in gevaar en brenkt schaden toe naan ons computer. Het advice is geen Adobe Reader teinstalleren!

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer