Adobe gaat updates stiekem installeren
Vanwege het toenemend aantal aanvallen op Adobe Reader, Acrobat en Flash, gaat het bedrijf voortaan stiekem beveiligingsupdates uitrollen en installeren. De nieuwe update-tool, die in oktober onder bètatesters werd verspreid, zal deze maand voor het eerst worden gebruikt. Als het meezit zal de updater bij de volgende Adobe patchcyclus voor iedereen verschijnen. De tool zal automatisch in de achtergrond updates downloaden en installeren, zonder dat gebruikers hier iets voor hoeven te doen. Voor mensen die meer controle willen, is er de keuze om de updates zelf te installeren of een waarschuwing te ontvangen als die beschikbaar zijn. "De meeste mensen willen hier niet mee worden lastig gevallen, maar aan de andere kant moeten ze wel worden beschermd, daarom hebben we de automatische "in-de-achtergrond update, zegt Adobe beveiligingschef Brad Arkin.
JavaScript
Ondanks dat de meeste exploits JavaScript gebruiken, is het verwijderen van de technologie in Adobe Reader en Acrobat in ieder geval geen optie. "JavaScript is een integraal onderdeel van hoe mensen formulieren invullen", merkt Arkin op. Het gaat dan voornamelijk om de manier waarop bedrijven de software gebruiken. Op de vraag of Adobe wel voldoende beveiligingspersoneel heeft voor het patchen en onderzoeken van lekken geeft de beveiligingschef geen eenduidig antwoord.
Wel laat hij weten dat het ontwikkelen en testen van een update niet zo eenvoudig is als het lijkt. Niet alleen is de Adobe software er voor 29 verschillende platformen, ook is die in 80 verschillende talen beschikbaar. Daarnaast kunnen kleine bugs die slechts een miniem percentage van de gebruikers treffen, nog steeds voor miljoenen machines zorgen die met problemen zitten.
Google
Toch kan het "stiekem" updaten helpen bij het terugdringen van het aantal aanvallen. Uit onderzoek van Google, blijkt dat de manier waarop de zoekgigant Google Chrome updatet, het beste werkt voor het beschermen van gebruikers.
Nou ja, twee keer klikken vind ik niet zo'n probleem, alleen opnieuw opstarten vind ik zo hinderlijk. De laatste Flash update ging vlekkeloos, maar voor de Reader moet ik ten minste die interessante pdf sluiten. Gelukkig is dat nog niet zo erg als Windows updates, waar je steeds je hele systeem opnieuw voor moet opstarten. Verbeterpuntje voor Microsoft, wat mij betreft.
Dan verwijder je toch het hele programma :) Alternatieve PDF software genoeg.
Bij automatische update van Adobe Flash Player zal er een oplossing ingebouwd moeten worden voor het probleem dat op 3 augustus 2009 door Peter V werd aangegeven, het probleem dat de ActiveX Control die voor Internet Explorer gebruikt wordt om Flash-content te laten zien, bij update niet altijd automatisch wordt bijgewerkt naar de nieuwe versie.
Ilja. _\\// heeft toen aangegeven dat die ActiveX Control vóór update eerst uitgeschakeld moet worden via "Invoegtoepassingen beheren" in IE.
Zie:
http://www.security.nl/artikel/30506/1/Flash_ook_lek_in_ActiveX_control.html
Als Adobe daarmee in het te introduceren systeem van automatische update geen rekening zou houden, dan zullen nog steeds veel installaties lek blijven vrees ik.
Dan heb ik er geen problemen mee, updates zijn geen probleem maar dan wil ik wel zelf controle! en zoals bij Google dat die van alles in de achtergrond doet...
Bij Windows kan je niet een bestand op disk weghalen of vervangen terwijl het in gebruik is. Daarom zal je bij het patchen van belangrijke DLLs of drivers altijd je systeem moeten herstarten. Bij Linux is dat alleen nodig als je de kernel wilt veranderen. Alle andere bestanden kunnen gewoon worden vervangen zonder dat je het merkt. Wel zal je applicaties opnieuw moeten opstarten zodat ze gebruik maken van de nieuwe libraries, etc. Een beetje package management systeem zorgt daar zelf voor in een post-install script.
Want ook Linux is door bepaalde script uitvoer kwetsbaar voor sommige kwade bedoelingen,doordat er een lek in zit.
Tevens een vraag, is er een alternatief voor die Adobe rommel eigenlijk of heeft dat zich zo ingebakken in alles en nog wat dat je er niet meer naast kan?
Heb het er eens afgezwierd en ik merkte dat de meeste sites niet echt goed doorkwamen, maar, dat waren ook meestal dingen die je kon missen als de pest reclame en zo...
Ik gebruik geen acrobat reader, ik gebruik Foxit.
Als je geen Adobe Reader hebt, dan zal je computer ook geen security updates voor Adobe Reader downloaden. De tool is niet bedoeld om aanvullende software te installeren, maar voor security updates van reeds geinstalleerde software.
Het grootste probleem met adobe reader is het distribueren van updates in een omgeving waarbij de gebruikers beperkte rechten hebben. het is elke keer weer onwijs gepruts om het weer niet goed te krijgen.
Ooit heeft dat er eens opgestaan ja op die pc, slechte verwijdering uit het register en andere???
Wanneer zit je hier niet op te wachten? Wanneer je met een netbook getethered bent met je telefoon en er enkel gprs beschikbaar is.
Dat het is uit te schakelen is dus prima.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
