Nieuws
image

Verizon: Adobe dumpen maakt bedrijven veiliger

vrijdag 26 februari 2010, 10:26 door Redactie, 5 reacties

Bedrijven die beveiliging belangrijk vinden doen er verstandig aan om Adobe Reader en Acrobat te dumpen, dat zegt telecomgigant Verizon. Adobe was en is nog steeds niet in staat om zelf de meeste lekken in de eigen software te vinden. Daarnaast maakte 80% van alle exploits in het laatste kwartaal van vorig jaar misbruik van lekken in Adobe Reader en Acrobat.

In 2007 voorspelde Verizon al dat software van derden vaker het doelwit van hackers zou zijn, maar dat één product zo zwaar getroffen zou worden zonder dat de leverancier actie ondernam om de problemen op te lossen, had het bedrijf niet verwacht. "Je herinnert je misschien dat Microsoft de ontwikkeling van Vista stopte om de lekken in Windows XP op te lossen, wat uiteindelijk in Service Pack 2 resulteerde en wat een groot verschil in de veiligheid van het besturingssysteem maakte", zegt Russ Cooper van Verizon Business.

JavaScript
"In het geval van Adobe zien we Adobe Reader met allerlei nieuwe features en behoorlijk wat code opzwellen." Een update mechanisme dat zonder al teveel interactie van gebruikers de software updatet blijft echter achterwege. Ook advies van Adobe om JavaScript volledig uit te schakelen verscheen volgens Cooper pas eind 2009, en alleen via register hacks van 'third party supporters'. De eigen link waarin Adobe dit uitlegt is nog altijd stuk. Het bedrijf introduceerde wel een nieuwe functionaliteit om bepaalde JavaScript API's te blacklisten. Maar die verschijnen pas op de lijst als Adobe ontdekt dat ze kwetsbaar zijn.

Alternatief
"Er zijn verschillende alternatieven voor het lezen van PDF documenten en wij vinden dat je moet overwegen of je een alternatief in je omgeving kunt uitrollen. We vinden dat de meeste PDF lezers niet dezelfde functionaliteit nodig hebben die Acrobat Reader biedt, en dus ook met een alternatief productief kunnen zijn. Als je een manier kunt vinden om sommige of al je gebruikers een alternatief te laten gebruiken, zal dat het aanvalsoppervlak van je onderneming behoorlijk verminderen", adviseert Cooper. Hij erkent dat het vervangen van Acrobat Reader geen kleine opgave is, maar dat bedrijven wel bij de "risico reductie" die het oplevert stil moeten staan.

Reacties (5)
26-02-2010, 15:35 door toor
Het is een trieste bedoeling daar bij Adobe. Software maken die er goed uitziet en verder functioneel goed is kunnen ze wel, maar veilig maken duidelijk niet, en er zit ook niet veel schot in. Je zou deze stempel als software bedrijf, in deze tijd zeker, niet willen hebben!
26-02-2010, 16:12 door [Account Verwijderd]
[Verwijderd]
26-02-2010, 16:54 door Anoniem
Dat is ook mijn advies aan het management maar zolang iedere n00b daarvan denkt dat PDF's alleen maar te maken en te openen zijn met Adobe meuk blijven alternatieven moeilijk te verkopen. Daarnaast kun je voor 20.000 gebruikers niet zomaar even Adobe meuk vervangen door een alternatief, dat vergt veel tijd, voorlichting en vaak ook trainingen. Als je de kosten daarvan afzet tegen het te lopen risico van Adobe meuk dan wordt het een nog veel lastiger verhaal. Zeker als er dan nog moet worden bezuinigd.
26-02-2010, 17:03 door [Account Verwijderd]
[Verwijderd]
28-02-2010, 23:35 door Anoniem
Zorg er eerst eens voor dat de Acrobat-reader niet automatisch in de browser laat.

Dat scheelt een boel bij drive-by attacks (natuurlijk moet je ook de gebruikers niet instrueren overal op te klikken).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search