Google waarschuwt voor gebruik Adobe Reader
Google waarschuwt gebruikers van Adobe Reader dat ze risico lopen om gehackt te worden als ze de PDF-lezer gebruiken, aangezien Adobe een aantal ernstige lekken in het programma heeft laten zitten. Adobe kwam dinsdag met een monsterpatch voor Adobe Reader en Acrobat waarmee twintig ernstige beveiligingslekken werden verholpen. De update verscheen echter alleen voor de Windows- en Mac-versies.
Volgens Mateusz Jurczyk en Gynvael Coldwind van het Google Security Team zou een aanvaller aan de hand van de patches voldoende informatie hebben om de gedichte beveiligingslekken te achterhalen en vervolgens te misbruiken. Daarnaast ontdekte het Google Security Team ook nog zestien andere lekken in de Mac- en Windows-versies, die niet werden gepatcht. Ondanks dat die inmiddels bijna zestig dagen oud zijn.
Omdat Adobe niet van plan is binnen zestig dagen een noodpatch uit te brengen, de termijn die Google aanhoudt om kwetsbaarheden te verhelpen, besloten de onderzoekers gebruikers te waarschuwen.
Uitschakelen
"Aangezien de Linux Reader-versies ongepatcht blijven en de Windows OS X patches nu beschikbaar voor analyse en reverse engineering zijn, hebben we besloten dat het in het belang van de gebruikers dat ze van deze beveiligingsproblemen weten." Naast de waarschuwing gaven de onderzoekers als bewijs 'geobfusceerde' voorbeelden van de problemen in de PDF-lezer.
Volgens de onderzoekers zijn er op dit moment geen tijdelijke oplossingen voor de ongepatchte beveiligingslekken beschikbaar. Gebruikers krijgen dan ook het advies om het gebruik van Adobe Reader te beperken, geen PDF-bestanden van externe bronnen te openen en de Adobe Reader plug-in in de browser uit te schakelen.
Wie gebruikt er nu Adobe Reader onder Linux?
pk
Terwijl google zelf Safari van Apple heeft gehackt. Om zo de browers te injecteren met cookie.
Wie gebruikt er nu Adobe Reader onder Linux?pk
1. Als een goede kleurweergave met ICC-profielen van belang is, dat ondersteunt xpdf niet. Dat is voor de enkele keer dat ik zelf een PDF produceer die professioneel afgedrukt wordt.
2. Als ik een formulier in moet vullen van bijvoorbeeld de belastingdienst in PDF-formaat mét JavaScript.
Voor die situaties gebruik ik Adobe Reader. De mogelijkheid om kleuren op basis van ICC-profielen goed weer te geven zou een welkome uitbreiding zijn voor xpdf of een van de andere viewers (misschien moet ik eens een feature-request indienen). De PDF-formulieren en scripting zijn wat mij betreft misbruik van wat het PDF-formaat eigenlijk zou moeten zijn (een document is geen applicatie en een applicatie geen document, een applicatie kan wel documenten verwerken of produceren, en als de scheiding tussen programma en data was volgehouden hadden we heel wat minder ellende met malware in scripts gehad dan nu het geval is) maar ik loop er soms tegenaan dat dat de manier is waarop een ander dingen inricht.
Wie gebruikt er nu Adobe Reader onder Linux?
pk
Mensen die overstappen van Windows naar Linux bijvoorbeeld en niet beter weten dan dat je PDF's met Acrobat/Adobe Reader leest.
Wie gebruikt er nu Adobe Reader onder Linux?
pk
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
