Nieuws
image

Adobe patcht stiekem beveiligingslekken

woensdag 26 mei 2010, 07:05 door Redactie, 8 reacties

Adobe patcht stiekem beveiligingslekken in software zoals Adobe Reader en Flash Player, zonder hier het publiek over te waarschuwen. Topman Brad Arkin vertelde Security.nl dat het alleen kwetsbaarheden meldt die door externe onderzoekers zijn ontdekt en gemeld. Over andere lekken, of "code verbeteringen" zoals Arkin het noemt, zwijgt men. Het bedrijf zegt de afgelopen tijd een grote sprong voorwaarts te hebben gemaakt op het gebied van veiligheid.

"Iedereen binnen Adobe weet het belang van security voor onze klanten", aldus de topman. Door de houding van Adobe is het onbekend hoeveel lekken er werkelijk in de software zitten. "Het is ons beleid om niet publiek over de details van code aanpassingen te spreken."

Cyclus
Op dit moment heeft Adobe elk kwartaal een patchcyclus, waarbij het updates voor Reader en Acrobat uitbrengt. Het bedrijf gaat de tijdsspanne op verzoek van klanten mogelijk aanpassen, zodat het net als Microsoft elke maand met updates komt. Tevens wil het tijdens dit moment patches voor alle producten uitbrengen, zoals Flash Player en Shockwave Player. Programma's die door bijna iedereen worden gebruikt, wat volgens Arkin ook de populariteit bij aanvallers verklaart.

Om de populatie van gebruikers gezond te maken, is Adobe begonnen met het uitrollen van een automatische updater. Op dit moment moeten gebruikers zelf inschakelen dat ze automatisch de updates willen ontvangen. Als het aan Adobe ligt verschijnt er straks een scherm, waarin staat dat gebruikers dit standaard willen. "Als ze dan het scherm weg klikken, krijgen ze automatisch de updates", merkt Arkin op.

Shockwave
Volgens Arkin werkt Adobe al geruime tijd aan het beveiligen van de eigen software. Op de vraag hoe het kon dat bij de laatste patch voor Shockwave Player er van de 18 lekken er geen één door Adobe was gevonden, reageerde Arkin door te zeggen dat Shockwave niet de hoogste prioriteit heeft en een ouder programma is. "Shockwave is minder belangrijk voor me", aldus Arkin. Flash en Reader staan vanwege hun dominante marktpositie bovenaan de lijst. Het gaat dan om percentages van bijna honderd procent. Toch is ook Shockwave met meer dan 450 miljoen installaties geen kleine speler, maar nog altijd de helft in vergelijking met Flash.

Lichtgewicht
Sommige onderzoekers hebben geopperd dat Adobe een lichtgewicht versie van de PDF-lezer moet maken, die alleen PDF's kan bekijken en geen JavaScript en dynamische formulieren ondersteunt. Volgens Arkin is dit geen oplossing, aangezien eindgebruikers in de Verenigde Staten bijvoorbeeld via hun PDF-lezer de belastingformulieren moeten invullen.

Arkin deed zijn uitspraken tijdens de Microsoft Trustworthy Computing Tour, waarbij hij vertelde over hoe Adobe de Security Development Lifecycle van Microsoft heeft geïmplementeerd. Een lifecycle die Adobe zelf weer heeft aangepast en nu gebruikt om andere bedrijven uit te leggen hoe ze hun producten moeten beveiligen.

Reacties (8)
26-05-2010, 08:13 door Zipper306
Dus Adobe gaat de zelfde kant op als google, stiekem patchen, het is mijn computer niet die van Adobe !!
26-05-2010, 10:40 door Anoniem
Blij dat ze dit doen, aangezien de meeste gebruikers toch nooit updaten. En de gebruikers die dit wel in eigen hand willen houden kunnen dit gewoon uitvinken (die zijn doorgaans sowieso beter op de hoogte van de settings).
Daarnaast begrijp ik wel dat ze bepaalde bugs niet openbaar maken, zeker als je ziet hoeveel misbruik er wordt gemaakt van malicious PDF files.
26-05-2010, 11:59 door Anoniem
@Zipper306,

De computer is van jou en de compiled binary is van jou (mits legaal gekocht of gratis versie) maar de source code is niet van jou en daar heb je dus ook geen recht over om te bepalen wat niet veranderd word en wat wel.

Adobe geeft jou nog steeds de mogelijkheid om een update wel of niet toe te staan.
26-05-2010, 12:59 door Skizmo
Door Zipper306: Dus Adobe gaat de zelfde kant op als google, stiekem patchen, het is mijn computer niet die van Adobe !!
Hou eens op met mekkeren en wees blij dat je software verbeterd wordt. Wat wil je dan ? bij iedere verbetering een vraag of je dat wel wil ? Wat ik veel erger vind is dat ik iedere week wel lees dat adobe weer wat moet patchen ... het is verdomme een document reader. .. hoeveel lekken kun je daar in stoppen ?
26-05-2010, 15:08 door Bert de Beveiliger
Door Skizmo:
Door Zipper306: Dus Adobe gaat de zelfde kant op als google, stiekem patchen, het is mijn computer niet die van Adobe !!
Hou eens op met mekkeren en wees blij dat je software verbeterd wordt. Wat wil je dan ? bij iedere verbetering een vraag of je dat wel wil ? Wat ik veel erger vind is dat ik iedere week wel lees dat adobe weer wat moet patchen ... het is verdomme een document reader. .. hoeveel lekken kun je daar in stoppen ?

Ah, release notes bijvoorbeeld, die zou ik wel willen. En het is geen document reader, het is (jaha) multimediaal festijn dat liedjes en flimpjes kan spelen (als ze in een pdf embedded zitten), en javascript kan draaien om eh... eh... nou ja, hartstikke toppe features dus. :-D
26-05-2010, 16:40 door Skizmo
Ah, release notes bijvoorbeeld, die zou ik wel willen.
hmmm... op dat punt moet ik je misschien wel gelijk geven. Het is wel leuk om te weten wat er gefixed is. Maar als linux gebruiker ben ik juist erg blij dat ik tegen de updater kan zeggen 'stop bugging me and update what needs to be updated automagically'.
26-05-2010, 17:48 door Bert de Beveiliger
Door Skizmo:
Ah, release notes bijvoorbeeld, die zou ik wel willen.
hmmm... op dat punt moet ik je misschien wel gelijk geven. Het is wel leuk om te weten wat er gefixed is. Maar als linux gebruiker ben ik juist erg blij dat ik tegen de updater kan zeggen 'stop bugging me and update what needs to be updated automagically'.


Ik denk dat juist een Linux gebruiker prijs zou stellen op transparantie ;-)
31-05-2010, 23:50 door jasa32
"Door de houding van Adobe is het onbekend hoeveel lekken er werkelijk in de software zitten."

Het is ook niet van belang om dat te weten, wanneer je eenvoudig deze rommel van Adobe
niet installeert.
Steve Jobs (Apple) heeft het heel goed gezien: geen misbaksels van Adobe gebruiken.
Wanneer Microsoft nu ook een keer verstandig zou worden ...... ? Tja, geval van moeilijk.

Zonder Adobe's misbaksels kan ik heel goed en vooral iets veiliger en rustiger leven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure