Adobe gaat updates stiekem installeren
Vanwege het toenemend aantal aanvallen op Adobe Reader, Acrobat en Flash, gaat het bedrijf voortaan stiekem beveiligingsupdates uitrollen en installeren. De nieuwe update-tool, die in oktober onder bètatesters werd verspreid, zal deze maand voor het eerst worden gebruikt. Als het meezit zal de updater bij de volgende Adobe patchcyclus voor iedereen verschijnen. De tool zal automatisch in de achtergrond updates downloaden en installeren, zonder dat gebruikers hier iets voor hoeven te doen. Voor mensen die meer controle willen, is er de keuze om de updates zelf te installeren of een waarschuwing te ontvangen als die beschikbaar zijn. "De meeste mensen willen hier niet mee worden lastig gevallen, maar aan de andere kant moeten ze wel worden beschermd, daarom hebben we de automatische "in-de-achtergrond update, zegt Adobe beveiligingschef Brad Arkin.
JavaScript
Ondanks dat de meeste exploits JavaScript gebruiken, is het verwijderen van de technologie in Adobe Reader en Acrobat in ieder geval geen optie. "JavaScript is een integraal onderdeel van hoe mensen formulieren invullen", merkt Arkin op. Het gaat dan voornamelijk om de manier waarop bedrijven de software gebruiken. Op de vraag of Adobe wel voldoende beveiligingspersoneel heeft voor het patchen en onderzoeken van lekken geeft de beveiligingschef geen eenduidig antwoord.
Wel laat hij weten dat het ontwikkelen en testen van een update niet zo eenvoudig is als het lijkt. Niet alleen is de Adobe software er voor 29 verschillende platformen, ook is die in 80 verschillende talen beschikbaar. Daarnaast kunnen kleine bugs die slechts een miniem percentage van de gebruikers treffen, nog steeds voor miljoenen machines zorgen die met problemen zitten.
Google
Toch kan het "stiekem" updaten helpen bij het terugdringen van het aantal aanvallen. Uit onderzoek van Google, blijkt dat de manier waarop de zoekgigant Google Chrome updatet, het beste werkt voor het beschermen van gebruikers.
Nou ja, twee keer klikken vind ik niet zo'n probleem, alleen opnieuw opstarten vind ik zo hinderlijk. De laatste Flash update ging vlekkeloos, maar voor de Reader moet ik ten minste die interessante pdf sluiten. Gelukkig is dat nog niet zo erg als Windows updates, waar je steeds je hele systeem opnieuw voor moet opstarten. Verbeterpuntje voor Microsoft, wat mij betreft.
Dan verwijder je toch het hele programma :) Alternatieve PDF software genoeg.
Bij automatische update van Adobe Flash Player zal er een oplossing ingebouwd moeten worden voor het probleem dat op 3 augustus 2009 door Peter V werd aangegeven, het probleem dat de ActiveX Control die voor Internet Explorer gebruikt wordt om Flash-content te laten zien, bij update niet altijd automatisch wordt bijgewerkt naar de nieuwe versie.
Ilja. _\\// heeft toen aangegeven dat die ActiveX Control vóór update eerst uitgeschakeld moet worden via "Invoegtoepassingen beheren" in IE.
Zie:
http://www.security.nl/artikel/30506/1/Flash_ook_lek_in_ActiveX_control.html
Als Adobe daarmee in het te introduceren systeem van automatische update geen rekening zou houden, dan zullen nog steeds veel installaties lek blijven vrees ik.
Dan heb ik er geen problemen mee, updates zijn geen probleem maar dan wil ik wel zelf controle! en zoals bij Google dat die van alles in de achtergrond doet...
Bij Windows kan je niet een bestand op disk weghalen of vervangen terwijl het in gebruik is. Daarom zal je bij het patchen van belangrijke DLLs of drivers altijd je systeem moeten herstarten. Bij Linux is dat alleen nodig als je de kernel wilt veranderen. Alle andere bestanden kunnen gewoon worden vervangen zonder dat je het merkt. Wel zal je applicaties opnieuw moeten opstarten zodat ze gebruik maken van de nieuwe libraries, etc. Een beetje package management systeem zorgt daar zelf voor in een post-install script.
Want ook Linux is door bepaalde script uitvoer kwetsbaar voor sommige kwade bedoelingen,doordat er een lek in zit.
Tevens een vraag, is er een alternatief voor die Adobe rommel eigenlijk of heeft dat zich zo ingebakken in alles en nog wat dat je er niet meer naast kan?
Heb het er eens afgezwierd en ik merkte dat de meeste sites niet echt goed doorkwamen, maar, dat waren ook meestal dingen die je kon missen als de pest reclame en zo...
Ik gebruik geen acrobat reader, ik gebruik Foxit.
Als je geen Adobe Reader hebt, dan zal je computer ook geen security updates voor Adobe Reader downloaden. De tool is niet bedoeld om aanvullende software te installeren, maar voor security updates van reeds geinstalleerde software.
Het grootste probleem met adobe reader is het distribueren van updates in een omgeving waarbij de gebruikers beperkte rechten hebben. het is elke keer weer onwijs gepruts om het weer niet goed te krijgen.
Ooit heeft dat er eens opgestaan ja op die pc, slechte verwijdering uit het register en andere???
Wanneer zit je hier niet op te wachten? Wanneer je met een netbook getethered bent met je telefoon en er enkel gprs beschikbaar is.
Dat het is uit te schakelen is dus prima.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.