Adobe dicht recordaantal lekken in Acrobat en Reader
Adobe heeft vandaag een recordaantal kwetsbaarheden in Acrobat Reader en Acrobat gepatcht, alsmede updates voor Flash Player uitgebracht. Via de beveiligingslekken had een aanvaller in het ergste geval een systeem volledig kunnen overnemen als er een kwaadaardig pdf-document werd geopend.
De updates voor Acrobat en Reader verhelpen in totaal 104 kwetsbaarheden. Niet eerder werden er zoveel beveiligingslekken in de pdf-lezers tegelijkertijd gepatcht. Het vorige "record" stamt uit 2016, toen het om 92 lekken ging. Via 50 kwetsbaarheden die als ernstig zijn bestempeld had een aanvaller willekeurige code kunnen uitvoeren. 53 beveiligingslekken kregen de beoordeling belangrijk en maakten het mogelijk om informatie te achterhalen. Het laatste beveiligingslek is ook als ernstig beoordeeld en betreft een "security bypass" waardoor een aanvaller zijn rechten had kunnen verhogen.
Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2018.011.20055, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30096, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30434 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe.
Flash Player
In het geval van Flash Player gaat om het twee beveiligingslekken waardoor het mogelijk was om informatie te achterhalen of willekeurige code op het systeem uit te voeren. Gebruikers krijgen het advies om te updaten naar Flash Player 30.0.0.134. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet.
Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe adviseert gebruikers, net als bij Acrobat, om de update snel te installeren, waarbij als voorbeeld 'binnen 30 dagen' wordt genoemd. Adobe verwacht niet dat aanvallers op korte termijn misbruik van de nu gepatchte kwetsbaarheden zullen maken.
Bij ons op kantoor gebruikt bijna iedereen deze applicatie die geen recht heeft op de full version van Adobe (ivm weinig licenties en enkel PDFs hoeft te bekijken ipv editen) maar wel graag markeringen en notes plaatsen in een PDF.
Maar vergeet niet dat de alternatieve versies om PDF's te lezen ook regelmatig updates ontvangen en geinstalleerd moeten worden...
Alleen omdat deze niet zo populair zijn halen ze de nieuws websites niet…
Vaak mist bij deze alternatieven ook een automatische update functionaliteit.
Niet dat ik wil beweren dat Adobe of een ander alternatief beter is of niet, enige wat wil aangeven dat wanneer je software gebruikt deze altijd moet updaten. Alternatieven zijn leuk, maar betekent niet dat je van een update probleem af bent.
Als ik die lijst goed begrijp is het nu alleen een verzameling van broddelwerk van de programmeurs, dit keer niet een
mogelijkheid om een leuke extra die er totaal onnodig ingebouwd is te exploiteren.
Maar in het verleden is dat inderdaad ook vaak aan de hand geweest...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
