"JavaScript advies Adobe Reader werkt niet"
Op 28 april werden twee ernstige beveiligingslekken in Adobe Reader en Acrobat ontdekt, maar het advies dat Adobe geeft in afwachting op een update is geen goede oplossing, aldus een security officer. De ontwikkelaar is van plan om op 12 mei een update uit te brengen, in de tussentijd moeten gebruikers JavaScript uitschakelen. Dit zorgt er echter voor dat gebruikers een dialoogvenster te zien krijgen waarin staat dat het document JavaScript bevat en het uitschakelen hiervan voor problemen kan zorgen. Het venster vraagt vervolgens of de gebruiker JavaScript weer wil inschakelen.
"Dit werkt niet, het schakelt JavaScript niet uit. Het toont de gebruiker alleen een vaag dialoogvenster waarin staat dat ze iets niet kunnen zien omdat JavaScript is uitgeschakeld. Raad eens? De meeste gebruikers staan JavaScript toe!", aldus een ontstemde Eric Cabetas. Hij is bang dat binnen bedrijven het meeste personeel gewoon "Ja" kiest, omdat ze in het geval van security waarschuwingen geleerd is dat te doen.
Leer van Microsoft
Volgens Randy Abrams van virusbestrijder ESET, kan Adobe niet van het verleden leren of het zich herinneren. "De toevoeging van JavaScript aan Acrobat vergroot het aanvalsoppervlak van Acrobat documenten. Microsoft heeft de kracht van macro's al vele jaren geleden geleerd en ze toen in Word uitgeschakeld, tenzij de gebruiker die bewust inschakelt. Adobe aan de andere kant schakelt JavaScript in, wat net zo krachtig als macro's is, en waarschuwt de gebruiker niet voor het verhoogde risico waaraan die is blootgesteld."
Ook in het geval van Autorun, heeft Microsoft zijn lesje geleerd en zal het deze aanvalsvector in Windows 7 uitschakelen. "Terwijl Microsoft de beveiliging verbetert, moddert Adobe voort en leert het niet de lessen van macro virussen. Acrobat was ooit een veilig alternatief voor Word. Vandaag de dag is dat helemaal niet meer het geval."
maar AD0BE blijkt gewoon eigenwijs wezen en niets willen toegeven. Ik zou zegen tegen AD0BE ga lekker zo door
met dom strategie!
> waarschuwingen geleerd is dat te doen.
Wat zijn dat voor absurde bedrijven? Waar ik heb gewerkt werd je in zo'n geval verondersteld om bij systeembeheer na te vragen voor je iets zo stompzinnigs deed (of iedereen zich daaraan hield is een tweede...).
Bovendien, je HEBT VERDORIE NET JS IN ADOBE READER UITGEZET?! Dan ben je toch een volslagen idioot als je na die waarschuwing op Ja klikt?
Los daarvan, waarom zou je javascript nodig hebben om een pdf te lezen?
Foxit heb ik overigens jaren geleden eens geprobeerd. Was traag en het gepresenteerde document zag er niet uit. Is het intussen echt zoveel verbeterd?
Redactie: die captcha's zijn niet te lezen.
Redactie: die captcha's zijn niet te lezen.
www.hansanders.nl ???
en ik vind de weergave uitstekend.
Het enige probleempje dat ik met Foxit Reader af en toe tegenkom, dat is dat bij kopiëren van stukjes uit een door Foxit weergegeven pdf, en plakken in een ander document (bijvoorbeeld in plain text, of doc), sommige beginhoofdletters van woorden niet worden weergegeven als hoofdletters maar als kleine letters. Ik heb nog geen idee of dat een Foxit-bugje is of een fout in het oorspronkeleijke document.
Het lek is alleen in Adobe Reader, niet in Foxit Reader.
Uitzetten van JavaScript is sowieso aan te bevelen
Alleen Adobe Reader is lek, maar desondanks is het ingeschakeld staan van JavaScript in Foxit Reader doorgaans onnodig, en het uitschakelen van die optie veiligheidshalve waarschijnlijk verstandig en dus aan te bevelen, als ie uit kan en mag.
Zie [url=http://www.security.nl/artikel/27823/1/Ook_lekken_in_Adobe_alternatief_Foxit_Reader.html]
Je kan Sumatra als alternatief proberen.
WAT MOET JAVA in een DOCUMENT ???
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.