Onderzoekers vinden in 50 dagen 54 lekken in Adobe Reader
Onderzoekers van securitybedrijf Check Point zijn erin geslaagd om in een periode van 50 dagen 54 kwetsbaarheden in Adobe Reader te vinden. De beveiligingslekken zijn de afgelopen maanden door het softwarebedrijf in de pdf-lezer gepatcht.
Voor het onderzoek werd er van een "fuzzer" gebruikgemaakt. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.
"De resultaten verbijsterden ons. In die 50 dagen wisten we meer dan 50 nieuwe kwetsbaarheden in Adobe Reader te vinden. Dat is gemiddeld één beveiligingslek per dag, niet het normale tempo voor dergelijk onderzoek", zeggen onderzoekers Yoav Alon en Netanel Ben-Simon. Ze merken op dat fuzzers veel meer kunnen dan een paar jaar geleden. Toch zijn er veel onderzoekers die er geen gebruik van maken. Reden voor Alon en Ben-Simon om details over hun onderzoek openbaar te maken, alsmede de gebruikte hardware en tools.
Reacties (15)
Sakkerju. Als dat stereotiep wordt voor alle software hangt er een zwaard van Damocles boven ons hoofd aan het bekende zijden draadje.
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
https://www.sumatrapdfreader.org/free-pdf-reader.html
Dit progje van 1895 kB kiloByte is gewoon supersnel zowel qua openen als wel scrollen.
Snelheidsrecord bij mij is het openen van een alleen tekst document (PDF) van 1680 pagina's bevattend een overzicht van alle Nederlandse spreekwoorden en gezegden(*). Dit vliegt in nog geen seconde open vanuit het aanklikken van het document.
(*) Voor de geïnteresseerden:
Dit is de download URL: https://www.dbnl.org/tekst/stoe002nede01_01/stoe002nede01_01.pdf
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
https://www.sumatrapdfreader.org/free-pdf-reader.html
Dit progje van 1895 kB kiloByte is gewoon supersnel zowel qua openen als wel scrollen.
Snelheidsrecord bij mij is het openen van een alleen tekst document (PDF) van 1680 pagina's bevattend een overzicht van alle Nederlandse spreekwoorden en gezegden(*). Dit vliegt in nog geen seconde open vanuit het aanklikken van het document.
(*) Voor de geïnteresseerden:
Dit is de download URL: https://www.dbnl.org/tekst/stoe002nede01_01/stoe002nede01_01.pdf
Ik ben meer geinteresseerdin een malware vrye fuzzer en met name de fuzzer die die onderzoekers gebruikten.
Men moet wel weten welk besmet document men in welke reader zonder bezwaar zou kunnen openen.
PDF exploits zijn meestal reader-viewer-exploits. Sumatra, Foxit, Adobe, etc.
Je moet in een dergelijk geval wel weten voor welke readers het exploit is ontworpen.
Ook kun je een verdacht document openen met Google docs, die het dan zal omzetten naar HTML.
Dan kan de eventuele payload je niet in de k*nt bijten.
Tenminste als je Google met de content van het betreffende pdf-document vertrouwt via je Google account?
Betreft het een javascript afhankelijk exploit dan is uitschakelen van javascript een optie.
luntrus
PDF exploits zijn meestal reader-viewer-exploits. Sumatra, Foxit, Adobe, etc.
Je moet in een dergelijk geval wel weten voor welke readers het exploit is ontworpen.
Ook kun je een verdacht document openen met Google docs, die het dan zal omzetten naar HTML.
Dan kan de eventuele payload je niet in de k*nt bijten.
Tenminste als je Google met de content van het betreffende pdf-document vertrouwt via je Google account?
Betreft het een javascript afhankelijk exploit dan is uitschakelen van javascript een optie.
luntrus
Door Balder: Sakkerju. Als dat stereotiep wordt voor alle software hangt er een zwaard van Damocles boven ons hoofd aan het bekende zijden draadje.[/url]
Adobe is wat dat betreft denk ik wel een extreem negatieve uitzondering. Het hele idee achter SSDLC en een veilige applicatiearchitectuur is nooit doorgedrongen tot hun dagelijkse werk, de programmeurs besteden er overduidelijk onvoldoende aandacht aan en hebben mogelijkerwijs ook de kennis helemaal niet op dat gebied. Misschien zijn de Adobe programmeurs simpelweg slecht, want ja, er lopen een hoop slechte programmeurs rond, net zoals er een hoop slechte mensen in andere vakgebieden rondlopen, zoals ik recent aan den lijve heb mogen ondervinden bij het leggen van een nieuwe vloer.
Door Balder: Sakkerju. Als dat stereotiep wordt voor alle software hangt er een zwaard van Damocles boven ons hoofd aan het bekende zijden draadje.
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
https://www.sumatrapdfreader.org/free-pdf-reader.html
Dit progje van 1895 kB kiloByte is gewoon supersnel zowel qua openen als wel scrollen.
Snelheidsrecord bij mij is het openen van een alleen tekst document (PDF) van 1680 pagina's bevattend een overzicht van alle Nederlandse spreekwoorden en gezegden(*). Dit vliegt in nog geen seconde open vanuit het aanklikken van het document.
(*) Voor de geïnteresseerden:
Dit is de download URL: https://www.dbnl.org/tekst/stoe002nede01_01/stoe002nede01_01.pdf
Is deze dan wel zo veilig? Anders heb je er nog niets aan..On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
https://www.sumatrapdfreader.org/free-pdf-reader.html
Dit progje van 1895 kB kiloByte is gewoon supersnel zowel qua openen als wel scrollen.
Snelheidsrecord bij mij is het openen van een alleen tekst document (PDF) van 1680 pagina's bevattend een overzicht van alle Nederlandse spreekwoorden en gezegden(*). Dit vliegt in nog geen seconde open vanuit het aanklikken van het document.
(*) Voor de geïnteresseerden:
Dit is de download URL: https://www.dbnl.org/tekst/stoe002nede01_01/stoe002nede01_01.pdf
Door Balder: Sakkerju. Als dat stereotiep wordt voor alle software hangt er een zwaard van Damocles boven ons hoofd aan het bekende zijden draadje.
On topic .....
Jouw intro is het meest wezenlijke. Wat je on topic noemt is off topic. Softeareengineering wordt al tijden verwaarloosd.On topic .....
Ooit wat het de basis wat je moest leren. Edsger Dijkstra etc.
Nu is het time to market en als je maar code hebt (snel goedkooop).
Het doorlopen van programmatuur waar de input meerdere onafhankelijkheden heeft (predictors) levert snel een hoeveelheid migelijkheden op welke praktische zaken te boven gaat. Je kunt met fuzzers wat doen. Het is een monte Carlo big data idee.
De onzekerheid dat bij een crash het ook echt gaat om een kwetsbaarheid dan wel een don't care situatie, is wat nog bekeken moet worden. Net zoals het toevallig ongemerkt door lopen maar dan met een totaal foute toestand.
Je ziet de type A en type B fouten terugkomen in de opzet.
Balder, je noemt Sumatra PDF reader een prima alternatief omdat het klein is. Maar is het ook veilig? We keuren Adobe Reader af omdat het niet veilig is. 'Veilig' en 'klein' zijn verschillende dingen.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
Door Anoniem: Balder, je noemt Sumatra PDF reader een prima alternatief omdat het klein is. Maar is het ook veilig? We keuren Adobe Reader af omdat het niet veilig is. 'Veilig' en 'klein' zijn verschillende dingen.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
De theorie is, hoe kleiner des te veiliger.
Immers, minder regels code dus minder kans op bugs.
Sumatra is in 2017 gehacked door de CIA. Goede software, want waarom zouden ze dat anders doen.
Veilige software? Bestaat dat eigenlijk wel?
Veilige software? Bestaat dat eigenlijk wel?
Door Anoniem:
De theorie is, hoe kleiner des te veiliger.
Immers, minder regels code dus minder kans op bugs.
Door Anoniem: Balder, je noemt Sumatra PDF reader een prima alternatief omdat het klein is. Maar is het ook veilig? We keuren Adobe Reader af omdat het niet veilig is. 'Veilig' en 'klein' zijn verschillende dingen.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
De theorie is, hoe kleiner des te veiliger.
Immers, minder regels code dus minder kans op bugs.
Ja daar ga ik ook van uit.
Ik ben geen software-engineer, maar bedenk slechts: Er valt minder code malafide te exploiteren in kleine bestanden.
Een vergelijking in grootte: een gemiddeld Excel document met meerdere tabs en formules komt al in de buurt van deze Reader. Ik ken geen ander voorbeeld van office gerelateerde programma's die zo klein zijn.
Algemeen gesteld: natuurlijk zal deze Reader ook wel te exploiteren zijn maar hoe groot is de target, ofwel aantal beoogde slachtoffers? Dat is de gedachte van criminelen die een xploit schrijven, en bij Adobe Reader is die groot, net als bij een ander produkt van hen: Flash.
Ik denk dat je redelijk veilig zit met het gebruik van deze kleine Reader.
Maar nogmaals: In niets heb je zekerheid. ook niet in de digitale wereld.
Door Balder: Sakkerju. ..
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
"Wij zijn pas tevree, met een Nietszeggend Spreekwoord op elke plee"On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
"Beeelachhhelijk, wat een onzin die dure auto's vol electronica.
Achterlijk om een Tesla te kopen want dit (https://en.wikipedia.org/wiki/File:Bantam-jeep-1.jpg) rijdt ook.
Minimaal drie wielen en een stuur zijn voldoende!"
As is verbrande turref
"Neem sumatrablablabla.."
Onzin natuurlijk want die Adobe reader heeft veel meer interactieve functionaliteit in huis waar een hele ambtelijke industrie en dus de halve bevolking (verplicht) op leunt.
Bijvoorbeeld
https://www.pianoo.nl/nl/regelgeving/aanbestedingswet/uniform-europees-aanbestedingsdocument/interactieve-pdf-uniform#Downloadrestricties
Veel voorkomend gevraagd om in te vullen
"uniformeuropeesaanbestedingsdocument-versie1-juni2017.pdf"
Lukt alleen met die moloch van adobe reader van een halve GB.
Ben er ook niet blij mee maar Adobe Reader heeft nou eenmaal bakken meer met functionaliteit aan boord waar kennelijk behoefte aan is.
Bakken meer aan functionaliteit biedt ook meer ruimte voor misbruik of voor fouten dat is nou eenmaal zo en daar hoef je bepaald geen fan van adobe voor te zijn om dat te snappen.
Maar als je op nivootje robbedoessakkerju blijft hangen is dat misschien wat te hoog gegrepen. Hoe leuk die strips verder ook zijn.
Door Anoniem:
"Beeelachhhelijk, wat een onzin die dure auto's vol electronica.
Achterlijk om een Tesla te kopen want dit (https://en.wikipedia.org/wiki/File:Bantam-jeep-1.jpg) rijdt ook.
Minimaal drie wielen en een stuur zijn voldoende!"
As is verbrande turref
"Neem sumatrablablabla.."
Onzin natuurlijk want die Adobe reader heeft veel meer interactieve functionaliteit in huis waar een hele ambtelijke industrie en dus de halve bevolking (verplicht) op leunt.
Bijvoorbeeld
https://www.pianoo.nl/nl/regelgeving/aanbestedingswet/uniform-europees-aanbestedingsdocument/interactieve-pdf-uniform#Downloadrestricties
Veel voorkomend gevraagd om in te vullen
"uniformeuropeesaanbestedingsdocument-versie1-juni2017.pdf"
Lukt alleen met die moloch van adobe reader van een halve GB.
Ben er ook niet blij mee maar Adobe Reader heeft nou eenmaal bakken meer met functionaliteit aan boord waar kennelijk behoefte aan is.
Bakken meer aan functionaliteit biedt ook meer ruimte voor misbruik of voor fouten dat is nou eenmaal zo en daar hoef je bepaald geen fan van adobe voor te zijn om dat te snappen.
Maar als je op nivootje robbedoessakkerju blijft hangen is dat misschien wat te hoog gegrepen. Hoe leuk die strips verder ook zijn.
Door Balder: Sakkerju. ..
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
"Wij zijn pas tevree, met een Nietszeggend Spreekwoord op elke plee"On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
"Beeelachhhelijk, wat een onzin die dure auto's vol electronica.
Achterlijk om een Tesla te kopen want dit (https://en.wikipedia.org/wiki/File:Bantam-jeep-1.jpg) rijdt ook.
Minimaal drie wielen en een stuur zijn voldoende!"
As is verbrande turref
"Neem sumatrablablabla.."
Onzin natuurlijk want die Adobe reader heeft veel meer interactieve functionaliteit in huis waar een hele ambtelijke industrie en dus de halve bevolking (verplicht) op leunt.
Bijvoorbeeld
https://www.pianoo.nl/nl/regelgeving/aanbestedingswet/uniform-europees-aanbestedingsdocument/interactieve-pdf-uniform#Downloadrestricties
Veel voorkomend gevraagd om in te vullen
"uniformeuropeesaanbestedingsdocument-versie1-juni2017.pdf"
Lukt alleen met die moloch van adobe reader van een halve GB.
Ben er ook niet blij mee maar Adobe Reader heeft nou eenmaal bakken meer met functionaliteit aan boord waar kennelijk behoefte aan is.
Bakken meer aan functionaliteit biedt ook meer ruimte voor misbruik of voor fouten dat is nou eenmaal zo en daar hoef je bepaald geen fan van adobe voor te zijn om dat te snappen.
Maar als je op nivootje robbedoessakkerju blijft hangen is dat misschien wat te hoog gegrepen. Hoe leuk die strips verder ook zijn.
Vertoon je continu deze diepe minachting voor mensen met andere visies? Triest.
Schaf kapitalisme af. Kwaliteit komt terug en zelfs Adobe kan dan weer software gaan schrijven. In plaats van kleuterklasprojectjes vol met gaten en bugs. Daar kunnen ze dan zelfs echte coders voor aannemen in plaats van de gebruikelijke 10 ct per regel prutsers uit India.
Door Rexodus: Schaf kapitalisme af. Kwaliteit komt terug en zelfs Adobe kan dan weer software gaan schrijven. In plaats van kleuterklasprojectjes vol met gaten en bugs. Daar kunnen ze dan zelfs echte coders voor aannemen in plaats van de gebruikelijke 10 ct per regel prutsers uit India.
"10 ct per regel prutsers uit India ??"
Heb je wel eens 1 keer de moeite genomen om de herkomst van de namen van top software-enigineers te lezen?
Neen, want dan nam je het woord prutsers wel heel snel terug en bood je - àls je een vent met karakter bent? - hier ruimhartig je excuses aan voor je kortzichtige beledigende woorden!
Door Balder:
"10 ct per regel prutsers uit India ??"
Heb je wel eens 1 keer de moeite genomen om de herkomst van de namen van top software-enigineers te lezen?
Neen, want dan nam je het woord prutsers wel heel snel terug en bood je - àls je een vent met karakter bent? - hier ruimhartig je excuses aan voor je kortzichtige beledigende woorden!
Door Rexodus: Schaf kapitalisme af. Kwaliteit komt terug en zelfs Adobe kan dan weer software gaan schrijven. In plaats van kleuterklasprojectjes vol met gaten en bugs. Daar kunnen ze dan zelfs echte coders voor aannemen in plaats van de gebruikelijke 10 ct per regel prutsers uit India.
"10 ct per regel prutsers uit India ??"
Heb je wel eens 1 keer de moeite genomen om de herkomst van de namen van top software-enigineers te lezen?
Neen, want dan nam je het woord prutsers wel heel snel terug en bood je - àls je een vent met karakter bent? - hier ruimhartig je excuses aan voor je kortzichtige beledigende woorden!
India kent vele toppers in wiskunde en informatica. Maar die worden niet voor 10 cent per regel verkocht. Degenen die wel voor die prijs worden verkocht zullen waarschijnlijk - ongeacht hun nationaliteit - wel aan de pejoratieve kwalificatie van Rexodus voldoen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
