ZDI ontvangt recordaantal lekken in pdf-lezers Adobe en Foxit
Vorig jaar hebben onderzoekers bij het Zero Day Initiative (ZDI) een recordaantal kwetsbaarheden in pdf-lezers van Adobe en Foxit gemeld. Het ging om bijna 500 beveiligingslekken die werden gerapporteerd. Het ZDI beloont onderzoekers voor dergelijke meldingen en informeert vervolgens de fabrikant.
De fabrikant is zo in staat om een beveiligingsupdate te ontwikkelen. ZDI hanteert wel een deadline van 120 dagen waarin fabrikanten, na te zijn ingelicht, met een patch moeten komen, anders worden details van het beveiligingslek openbaar gemaakt. In 2018 publiceerde het ZDI advisories over 1444 kwetsbaarheden die onderzoekers hadden gemeld. 427 advisories meer dan in 2017. Van de 1444 kwetsbaarheden waren er 1286 gepatcht op het moment dat de advisory verscheen. Voor 158 kwetsbaarheden was er op het moment dat de advisory werd gepubliceerd geen patch beschikbaar.
De meeste kwetsbaarheden werden in de pdf-lezers van Adobe en Foxit gerapporteerd. In het geval van Foxit ging het om 257 beveiligingslekken, gevolgd door Adobe met 238 kwetsbaarheden. Adobe biedt ook nog andere programma's aan, maar het ZDI meldt dat 96 procent van de Adobe-advisories over Adobe Reader of Acrobat Reader ging.
Volgens Dustin Childs van het ZDI komt deze aandacht voor pdf-lezers door het toegenomen gebruik van pdf-bestanden in actieve exploits. "Het pdf-formaat blijft bij actieve aanvallen worden gebruikt en het einde is nog niet in zicht. Gezien dat dit bestandsformaat door veel applicaties op veel besturingssystemen wordt weergegeven, is het geen verrassing waarom het een aantrekkelijk doelwit blijft. Ontwikkelaars moeten dan ook defense-in-depth-maatregelen nemen om gehele klassen van kwetsbaarheden voor pdf's te verhelpen om een enigszins acceptabel beveiligingsniveau te hebben", stelt Childs.
Het werkelijke aantal gevonden kwetsbaarheden in de pdf-lezers ligt veel hoger, aangezien het hier alleen gaat om kwetsbaarheden die onderzoekers bij het ZDI rapporteerden. Er zijn ook nog andere bedrijven die organisaties belonen voor het melden van kwetsbaarheden. Daarnaast kunnen onderzoekers met hun bevindingen ook direct bij de softwareontwikkelaar aankloppen.
Lol werk je als developer bij een groot bedrijf. Bouw je bewust een berg moeilijk vindbare lekken in en dan vervolgens vinden je vrienden die lekken.
Leuk handeltje als je er bij stilstaat. totaal immoreel natuurlijk.
Ik denk dat ze daar ook eens naar moeten kijken zei deze C++ programmeur.
Die zit bij die 132 zero days van "all others".... ;-)
Waarom denk je dat open source beter is? Dat is denk ik niet zo, de kwaliteit van de grote hoeveelheid open source spul verzameld in dit soort readers is zo goed als je denkt.
Simpel is wel goed, maar dan werkt misschien niet alles.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
