Nieuws

Adobe patcht stiekem beveiligingslekken

woensdag 26 mei 2010, 07:05 door Redactie, 8 reacties

Adobe patcht stiekem beveiligingslekken in software zoals Adobe Reader en Flash Player, zonder hier het publiek over te waarschuwen. Topman Brad Arkin vertelde Security.nl dat het alleen kwetsbaarheden meldt die door externe onderzoekers zijn ontdekt en gemeld. Over andere lekken, of "code verbeteringen" zoals Arkin het noemt, zwijgt men. Het bedrijf zegt de afgelopen tijd een grote sprong voorwaarts te hebben gemaakt op het gebied van veiligheid.

"Iedereen binnen Adobe weet het belang van security voor onze klanten", aldus de topman. Door de houding van Adobe is het onbekend hoeveel lekken er werkelijk in de software zitten. "Het is ons beleid om niet publiek over de details van code aanpassingen te spreken."

Cyclus
Op dit moment heeft Adobe elk kwartaal een patchcyclus, waarbij het updates voor Reader en Acrobat uitbrengt. Het bedrijf gaat de tijdsspanne op verzoek van klanten mogelijk aanpassen, zodat het net als Microsoft elke maand met updates komt. Tevens wil het tijdens dit moment patches voor alle producten uitbrengen, zoals Flash Player en Shockwave Player. Programma's die door bijna iedereen worden gebruikt, wat volgens Arkin ook de populariteit bij aanvallers verklaart.

Om de populatie van gebruikers gezond te maken, is Adobe begonnen met het uitrollen van een automatische updater. Op dit moment moeten gebruikers zelf inschakelen dat ze automatisch de updates willen ontvangen. Als het aan Adobe ligt verschijnt er straks een scherm, waarin staat dat gebruikers dit standaard willen. "Als ze dan het scherm weg klikken, krijgen ze automatisch de updates", merkt Arkin op.

Shockwave
Volgens Arkin werkt Adobe al geruime tijd aan het beveiligen van de eigen software. Op de vraag hoe het kon dat bij de laatste patch voor Shockwave Player er van de 18 lekken er geen één door Adobe was gevonden, reageerde Arkin door te zeggen dat Shockwave niet de hoogste prioriteit heeft en een ouder programma is. "Shockwave is minder belangrijk voor me", aldus Arkin. Flash en Reader staan vanwege hun dominante marktpositie bovenaan de lijst. Het gaat dan om percentages van bijna honderd procent. Toch is ook Shockwave met meer dan 450 miljoen installaties geen kleine speler, maar nog altijd de helft in vergelijking met Flash.

Lichtgewicht
Sommige onderzoekers hebben geopperd dat Adobe een lichtgewicht versie van de PDF-lezer moet maken, die alleen PDF's kan bekijken en geen JavaScript en dynamische formulieren ondersteunt. Volgens Arkin is dit geen oplossing, aangezien eindgebruikers in de Verenigde Staten bijvoorbeeld via hun PDF-lezer de belastingformulieren moeten invullen.

Arkin deed zijn uitspraken tijdens de Microsoft Trustworthy Computing Tour, waarbij hij vertelde over hoe Adobe de Security Development Lifecycle van Microsoft heeft geïmplementeerd. Een lifecycle die Adobe zelf weer heeft aangepast en nu gebruikt om andere bedrijven uit te leggen hoe ze hun producten moeten beveiligen.

Privacyrampen domineren het nieuws (Podcast)

"Internetrijbewijs bedreigt privacy"

Reacties (8)

26-05-2010, 08:13 door Zipper306

Dus Adobe gaat de zelfde kant op als google, stiekem patchen, het is mijn computer niet die van Adobe !!

26-05-2010, 10:40 door Anoniem

Blij dat ze dit doen, aangezien de meeste gebruikers toch nooit updaten. En de gebruikers die dit wel in eigen hand willen houden kunnen dit gewoon uitvinken (die zijn doorgaans sowieso beter op de hoogte van de settings).
Daarnaast begrijp ik wel dat ze bepaalde bugs niet openbaar maken, zeker als je ziet hoeveel misbruik er wordt gemaakt van malicious PDF files.

26-05-2010, 11:59 door Anoniem

@Zipper306,

De computer is van jou en de compiled binary is van jou (mits legaal gekocht of gratis versie) maar de source code is niet van jou en daar heb je dus ook geen recht over om te bepalen wat niet veranderd word en wat wel.

Adobe geeft jou nog steeds de mogelijkheid om een update wel of niet toe te staan.

26-05-2010, 12:59 door Skizmo

Door Zipper306: Dus Adobe gaat de zelfde kant op als google, stiekem patchen, het is mijn computer niet die van Adobe !!

Hou eens op met mekkeren en wees blij dat je software verbeterd wordt. Wat wil je dan ? bij iedere verbetering een vraag of je dat wel wil ? Wat ik veel erger vind is dat ik iedere week wel lees dat adobe weer wat moet patchen ... het is verdomme een document reader. .. hoeveel lekken kun je daar in stoppen ?

26-05-2010, 15:08 door Bert de Beveiliger

Door Skizmo:

Door Zipper306: Dus Adobe gaat de zelfde kant op als google, stiekem patchen, het is mijn computer niet die van Adobe !!

Ah, release notes bijvoorbeeld, die zou ik wel willen. En het is geen document reader, het is (jaha) multimediaal festijn dat liedjes en flimpjes kan spelen (als ze in een pdf embedded zitten), en javascript kan draaien om eh... eh... nou ja, hartstikke toppe features dus. :-D

26-05-2010, 16:40 door Skizmo

Ah, release notes bijvoorbeeld, die zou ik wel willen.

hmmm... op dat punt moet ik je misschien wel gelijk geven. Het is wel leuk om te weten wat er gefixed is. Maar als linux gebruiker ben ik juist erg blij dat ik tegen de updater kan zeggen 'stop bugging me and update what needs to be updated automagically'.

26-05-2010, 17:48 door Bert de Beveiliger

Door Skizmo:

Ah, release notes bijvoorbeeld, die zou ik wel willen.

Ik denk dat juist een Linux gebruiker prijs zou stellen op transparantie ;-)

31-05-2010, 23:50 door jasa32

"Door de houding van Adobe is het onbekend hoeveel lekken er werkelijk in de software zitten."

Het is ook niet van belang om dat te weten, wanneer je eenvoudig deze rommel van Adobe
niet installeert.
Steve Jobs (Apple) heeft het heel goed gezien: geen misbaksels van Adobe gebruiken.
Wanneer Microsoft nu ook een keer verstandig zou worden ...... ? Tja, geval van moeilijk.

Zonder Adobe's misbaksels kan ik heel goed en vooral iets veiliger en rustiger leven.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Adobe patcht stiekem beveiligingslekken

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren