"Alternatieve PDF-lezer niet veiliger dan Adobe"
Het gebruik van een alternatieve PDF-lezer in plaats van Adobe Reader of Acrobat, maakt gebruikers en systemen niet veiliger. Dat zegt Timothy Armstrong van het Russische anti-virusbedrijf Kaspersky Lab. Armstrong merkt op dat er voor alternatieven, zoals Sumatra PDF Reader, veel minder aanvallen en exploits worden waargenomen. Toch betekent dit niet dat "obscure software" gebruikers beter beschermd. "Veel van de kwetsbaarheden treffen meerdere leveranciers, en het is lastig om te weten welke kwetsbaarheden open blijven." Daarnaast merkt de virusbestrijder op dat 'security through obscurity' nooit een succesvolle aanpak is geweest. Armstrong gaat echter voorbij aan het feit dat verschillende opties die aanvallers bijvoorbeeld in Adobe Reader gebruiken, niet in veel alternatieven aanwezig zijn.
Het zijn echter niet alleen computergebruikers die hun Adobe software moeten updaten, dit geldt ook voor eigenaren van tablets en smartphones. Adobe bracht deze week een noodpatch uit voor Flash Player, die verschillende beveiligingslekken oploste, waaronder één die actief door hackers wordt gebruikt voor het stelen van vertrouwelijke gegevens.
Updaten
Adobe duikt inmiddels ook steeds vaker op allerlei andere apparaten op. "Doordat het overal aanwezig is, hebben gebruikers met de grote beslissing te maken tussen de kosten van het up-to-date houden van software op meerdere apparaten of het blootstellen van gegevens aan aanvallers", gaat Armstrong verder.
Hij merkt op dat bewustzijn bij gebruikers het grootste struikelblok is. Veel mensen openen allerlei bijlagen en links op hun smartphone, zonder dat ze alle software op de toestellen updaten. "In andere gevallen kan het installeren van updates de functionaliteit met andere applicaties breken. In ieder geval moet er een beslissing worden gemaakt tussen support en security."
Voor PDF readers klopt deze uitspraak niet.
Zelfs voor mijn Escape From PDF PoC (die /Launch cmd.exe gebruikte), waar ik geen kwetsbaarheid misbruikte maar gewoon creatief gebruik maakte van de PDF specificatie, moest ik een aangepaste PoC maken voor Foxit Reader, want Foxit Software had de specificatie niet to-the-letter geïmplementeerd.
En de meeste andere PDF readers implementeren de /Launch feature gewoon niet.
Ik moet nog de eerste malware PDF in-the-wild tegenkomen die zowel Adobe Reader als Foxit Readr misbruikt.
Het liefst zou ik helemaal geen Adobe op mijn systeem willen hebben, maar helaas is er geen acceptabel alternatief voor Premiere of Photoshop. Om over Flash maar niet te spreken.
Het liefst zou ik helemaal geen Adobe op mijn systeem willen hebben, maar helaas is er geen acceptabel alternatief voor Premiere of Photoshop. Om over Flash maar niet te spreken.
Dit dus.
HAAL DIE #$^$#$@ JAVASCRIPT OPTIE eruit..
dan scheelt het veel.
en eh, alternatieve programma's zijn 1000x kleiner.
Is stukken goedkoper en veiliger, wat wil je nog meer?
Is stukken goedkoper en veiliger, wat wil je nog meer?
Maar houd er met PDF-XChange Viewer wel rekening mee dat de standaardinstelling is met JavaScript ingeschakeld en met de mogelijkheid tot Launch Actions ingeschakeld. Twee zaken die veiligheidshalve beter uitgeschakeld kunnen worden.
En daarnaast zit de nieuwe PDF-XChange Viewer versie 3.0 eraan te komen, met daarin Flash ondersteuning toegevoegd, als ik me niet vergis, en daarnaast nog veel meer extraatjes waarom gevraagd is door verschillende gebruikers. Dus nog meer om veiligheidshalve uit te moeten schakelen.
Los daarvan vind ik het een erg prettig programma.
Ik heb geen enkele twijfel omtrent de vraag of de beweringen 'waar' zijn; denk je dat de programmeurs van alternatieve PDF readers geen fouten maken, en dat die software niet vulnerable is ? Gezien het marktaandeel van Acrobat is het logisch dat hier de meeste aandacht naar uitgaat, zowel van criminelen, als van beveiligingsonderzoekers.
De rest van je opmerkingen hebben helemaal niets van doen met de vraag hoe veilig Adobe Acrobat en concurrenten zijn, en zijn daardoor behoorlijk offtopic. Het gaat hier helemaal niet om de vraag welke PDF lezer het kleinst of gebruiksvriendelijkst is, het gaat enkel over de kwetsbaarheden in deze produkten welke misbruikt kunnen worden.
Indien morgen Adobe van de markt zou verdwijnen, dan is binnen de kortste keren een andere PDF reader die marktleider wordt doelwit van cyberaanvallen, en dan lees je dus voortdurend welke kwetsbaarheden in die software zitten, welke verholpen moeten worden.
Indien Adobe Reader er niet meer zou zijn, en 90% van de gebruikers PDF X-Change Pro zou gaan gebruiken, denk je dan niet dat er opeens veel meer vulnerabilities ontdekt zullen worden in deze software, en dat er meer exploits zullen verschijnen ? Is het produkt zoveel veiliger, of krijgt het gewoon nauwelijks aandacht voor wat betreft beveiliging ?
Indien Adobe Reader er niet meer zou zijn, en 90% van de gebruikers PDF X-Change Pro zou gaan gebruiken, denk je dan niet dat er opeens veel meer vulnerabilities ontdekt zullen worden in deze software, en dat er meer exploits zullen verschijnen ? Is het produkt zoveel veiliger, of krijgt het gewoon nauwelijks aandacht voor wat betreft beveiliging ?
Juist dus steeds van software veranderen wat net wat anders is dan de mainstream gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
