image

Google waarschuwt voor gebruik Adobe Reader

donderdag 16 augustus 2012, 09:25 door Redactie, 10 reacties

Google waarschuwt gebruikers van Adobe Reader dat ze risico lopen om gehackt te worden als ze de PDF-lezer gebruiken, aangezien Adobe een aantal ernstige lekken in het programma heeft laten zitten. Adobe kwam dinsdag met een monsterpatch voor Adobe Reader en Acrobat waarmee twintig ernstige beveiligingslekken werden verholpen. De update verscheen echter alleen voor de Windows- en Mac-versies.

Volgens Mateusz Jurczyk en Gynvael Coldwind van het Google Security Team zou een aanvaller aan de hand van de patches voldoende informatie hebben om de gedichte beveiligingslekken te achterhalen en vervolgens te misbruiken. Daarnaast ontdekte het Google Security Team ook nog zestien andere lekken in de Mac- en Windows-versies, die niet werden gepatcht. Ondanks dat die inmiddels bijna zestig dagen oud zijn.

Omdat Adobe niet van plan is binnen zestig dagen een noodpatch uit te brengen, de termijn die Google aanhoudt om kwetsbaarheden te verhelpen, besloten de onderzoekers gebruikers te waarschuwen.

Uitschakelen
"Aangezien de Linux Reader-versies ongepatcht blijven en de Windows OS X patches nu beschikbaar voor analyse en reverse engineering zijn, hebben we besloten dat het in het belang van de gebruikers dat ze van deze beveiligingsproblemen weten." Naast de waarschuwing gaven de onderzoekers als bewijs 'geobfusceerde' voorbeelden van de problemen in de PDF-lezer.

Volgens de onderzoekers zijn er op dit moment geen tijdelijke oplossingen voor de ongepatchte beveiligingslekken beschikbaar. Gebruikers krijgen dan ook het advies om het gebruik van Adobe Reader te beperken, geen PDF-bestanden van externe bronnen te openen en de Adobe Reader plug-in in de browser uit te schakelen.

Reacties (10)
16-08-2012, 09:51 door Anoniem
Gewoon geen adobe gebruiken op linux om PDF-jes te lezen... Simpel...
16-08-2012, 10:14 door Anoniem
Er zijn genoeg andere readers beschikbaar onder Linux.
Wie gebruikt er nu Adobe Reader onder Linux?

pk
16-08-2012, 11:16 door Anoniem
Is wel opmerkelijk dat google dit meld.
Terwijl google zelf Safari van Apple heeft gehackt. Om zo de browers te injecteren met cookie.
16-08-2012, 14:30 door Anoniem
@11:16

Ik zie de relevantie tussen de 2 zaken niet.
16-08-2012, 14:42 door Ignitem
Ik geloof niet dat er Linux distributies zijn die standaard Adobe Reader installeren. Ze hebben elk hun eigen PDF reader. Het gevaar valt dus wel mee.
16-08-2012, 15:01 door Anoniem
Door Anoniem: Er zijn genoeg andere readers beschikbaar onder Linux.
Wie gebruikt er nu Adobe Reader onder Linux?pk
Ik, al is het incidenteel. Mijn favoriete PDF-viewer is xpdf. Die is eenvoudig, licht, snel en ondersteunt geen JavaScript. Er zijn voor mij echter twee situaties waarin die niet voldoet:

1. Als een goede kleurweergave met ICC-profielen van belang is, dat ondersteunt xpdf niet. Dat is voor de enkele keer dat ik zelf een PDF produceer die professioneel afgedrukt wordt.
2. Als ik een formulier in moet vullen van bijvoorbeeld de belastingdienst in PDF-formaat mét JavaScript.

Voor die situaties gebruik ik Adobe Reader. De mogelijkheid om kleuren op basis van ICC-profielen goed weer te geven zou een welkome uitbreiding zijn voor xpdf of een van de andere viewers (misschien moet ik eens een feature-request indienen). De PDF-formulieren en scripting zijn wat mij betreft misbruik van wat het PDF-formaat eigenlijk zou moeten zijn (een document is geen applicatie en een applicatie geen document, een applicatie kan wel documenten verwerken of produceren, en als de scheiding tussen programma en data was volgehouden hadden we heel wat minder ellende met malware in scripts gehad dan nu het geval is) maar ik loop er soms tegenaan dat dat de manier is waarop een ander dingen inricht.
16-08-2012, 15:48 door ernie
Door Anoniem: Er zijn genoeg andere readers beschikbaar onder Linux.
Wie gebruikt er nu Adobe Reader onder Linux?

pk

Mensen die overstappen van Windows naar Linux bijvoorbeeld en niet beter weten dan dat je PDF's met Acrobat/Adobe Reader leest.
16-08-2012, 16:09 door Booze
Door Anoniem: Er zijn genoeg andere readers beschikbaar onder Linux.
Wie gebruikt er nu Adobe Reader onder Linux?

pk
Je zou er nog van schrikken, maar duidelijk een antwoord uit je eigen referentie kader, vergeet niet dat velen wel achter een pc zitten, maar eigenlijk niet weten wat ze doen. Juist die groep is kwetsbaar voor dit soort zaken..
16-08-2012, 19:29 door Anoniem
Arrogante en verouderde software, dat ik na hun update MOET herstarten...
17-08-2012, 10:28 door varttaanen
Elke disto/shell levert toch wel een pdf lezer mee? Evince bijvoorbeeld werkt behoorlijk fijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.