Adobe moet JavaScript uitschakelen
Bijna alle exploits voor beveiligingslekken in Adobe Reader en Acrobat maken gebruik van JavaScript, het is dan ook de hoogste tijd dat Adobe dit standaard in de PDF-lezers uitschakelt. Dat vindt Vanja Svajcer, hoofd virusonderzoek bij de Britse virusbestrijder Sophos. "Hoewel het duidelijk is dat Adobe meer doet om lekken in hun producten op te lossen, geeft het grote aantal lekken aan dat dit het moment voor Adobe is om een security push uit te voeren en de manier aan te passen waarop ze beveiliging in hun producten verwerken", aldus Svajcer.
Hij wijst naar Microsoft, dat een soortgelijke operatie onderging. "En de resultaten zijn er, aangezien lekken lastiger worden gevonden en misbruikt." Als er echter één ding is dat Adobe nu zou moeten doen, dan is het JavaScript standaard in Adobe Reader uitschakelen, zo merkt de virusbestrijder op.
Dat is onjuist, veel exploits in-the-wild gebruiken geen JavaScript, met name die in targeted attacks.
Dat is onjuist, veel exploits in-the-wild gebruiken geen JavaScript, met name die in targeted attacks.
In mijn ervaring is het wel zo dat PDF's worden opgedrongen met daarin malware die van vulnerabilities (deels onbedoeld geintroduceerd door PDF-reader-programmeurs, deels "by design") gebruik maakt om die malware op je systeem te laten draaien. In de praktijk wordt daarbij zeer vaak van Javascript gebruik gemaakt bijv. voor heap-spraying.
Dat is onjuist, veel exploits in-the-wild gebruiken geen JavaScript, met name die in targeted attacks.
In mijn ervaring is het wel zo dat PDF's worden opgedrongen met daarin malware die van vulnerabilities (deels onbedoeld geintroduceerd door PDF-reader-programmeurs, deels "by design") gebruik maakt om die malware op je systeem te laten draaien. In de praktijk wordt daarbij zeer vaak van Javascript gebruik gemaakt bijv. voor heap-spraying.
Wat precies begrijp je niet? Toegepaste PDF exploits in targeted attacks gebruiken vaak geen scripting. Dat is niet nodig. PDF is gewoon een bestandstype zoals Word DOC's, waar dit type aanvallers ook geen scripting nodig heeft om een aanval uit te voeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.