Adobe bagatelliseert lek in Download Manager
Een lek in de Adobe Download Manager waardoor hackers lekke Adobe software op systemen kunnen plaatsen om vervolgens te misbruiken, is volgens het bedrijf helemaal niet zo ernstig. De Israëlische beveiligingsonderzoeker Aviv Raff demonstreerde maandag hoe aanvallers de tool die Adobe standaard aanbiedt, gedwongen kan worden om aanvullende Adobe software te downloaden. Wie bijvoorbeeld een alternatieve PDF-lezer gebruikt, maar wel Flash Player geïnstalleerd heeft, loopt zo kans om toch Adobe Reader op het systeem te krijgen.
"In plaats van toe te geven dat deze ontwerpfout inderdaad een probleem is dat aanvallers kunnen misbruiken, besloot Adobe het probleem te bagatelliseren", aldus Raff. In een reactie liet het bedrijf weten dat de Download Manager slechts één keer wordt gebruikt en zichzelf daarna verwijdert. Verder kan de tool alleen de laatste software versies van Adobe.com downloaden en toont het een groot scherm aan gebruikers.
Herstarten
"Ik denk dat ze hier het hele punt missen", merkt de onderzoeker op. Hij geeft toe dat de Download Manager zichzelf verwijdert na het herstarten van de computer, maar gebruikers die bijvoorbeeld Flash Player updaten, dit niet hoeven te doen. Totdat deze gebruikers hun computer herstarten, lopen ze risico. Daarnaast komt het regelmatig voor dat er zero-day lekken in Adobe's software worden aangetroffen. Wat betreft het dialoogvenster is het volgens Raff eenvoudig: "Net alsof dit iets uitmaakt voor een aanvaller die kwaadaardige software op je machine wil plaatsen."
Echt lek
Op dezelfde dag dat hij het probleem met de Download Manager onthulde, ontdekte hij nog een beveiligingslek in de software. Daardoor kan een aanvaller elk willekeurig bestand automatisch downloaden en installeren. "Als je naar Adobe's website gaat en een beveiligingsupdate voor Flash installeert, stel je jezelf bloot aan een zero-day aanval." Raff zal pas details prijsgeven als Adobe het lek dicht. "Ik hoop dat Adobe dit lek ook niet zal bagatelliseren." Het is niet de eerste keer dat een groot softwarebedrijf een probleem in de eigen software probeert te bagatelliseren. "Microsoft, Apple en zelfs Mozilla hebben zich hier in het verleden allemaal schuldig aan gemaakt, en nu heeft ook Adobe zich hierbij aangesloten."
bagatelliseren lijkt de standaard reactie op vulnerability disclosure van iedere instelling
Greetingz,
Jacco
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.