Nieuws
image

Weer zero-day lek in Adobe Reader *Update*

woensdag 4 augustus 2010, 12:26 door Redactie, 8 reacties

Adobe Reader wordt weer geplaagd door een zero-day beveiligingslek, zo heeft het bedrijf bevestigd. Het gaat hier niet om de kwetsbaarheid waarmee het nieuwe iPhone OS is te jailbreaken, maar een kwetsbaarheid die vorige week tijdens de Black Hat conferentie werd onthuld. Beveiligingsonderzoeker Charlie Miller demonstreerde het lek, waarmee aanvallers via drive-by aanvallen systemen kunnen overnemen.

Patch
Adobe werkt inmiddels aan een update en kan beslissen om die als noodpatch aan te bieden. De volgens patchcyclus staat pas voor 12 oktober gepland. Of er een out-of-band patch komt is vooral afhankelijk of aanvallers het lek zullen misbruiken.

Op de slides en screenshots van Miller staat informatie die een aanvaller mogelijk op weg kunnen helpen bij het ontdekken van de kwetsbaarheid. Adobe onderzoekt nu of de gepresenteerde informatie inderdaad voldoende details bevat en hoelang het duurt voordat er mogelijk een exploit is.

Update 16:20
Het lijkt erop dat niemand meer van de gapende gaten in de software van Adobe staat te kijken. Miller laat via Twitter weten: "De beveiliging van Adobe is zo slecht, dat toen ik een Reader 0-day tijdens mijn lezing bekendmaakte, niemand er over Twitterde. Triest."

Reacties (8)
04-08-2010, 14:34 door Skizmo
Volgens mij heb je als programmeur niet echt eer van je werk als je bijna iedere week wel een artikel leest over gaten in je software...
04-08-2010, 14:34 door Rubbertje
Ben ik met Foxit Reader minder kwetsbaar?
04-08-2010, 16:39 door Bitwiper
Door Bastos: Ben ik met Foxit Reader minder kwetsbaar?
Een beetje minder kwetsbaar om twee redenen: (1) aanvallers richten zich meer op Adobe Reader omdat verreweg de meeste mensen dat op hun PC hebben staan en (2) omdat Adobe meer functionaliteit (features, de vraag is voor wie: eindgebruikers of malwaremakers) in haar Reader stopt. Echter, Foxit is hard bezig met een inhaalslag, hun Reader is lang niet meer zo slank als in het begin (toen Javascript ondersteuning nog als optionele download kon worden toegevoegd aan een installatie).

Als je er rekening mee houdt er minder tijd aan het zoeken naar lekken in Foxit Reader dan in Adobe Reader wordt gezocht, zou het het aantal gevonden lekken per besteedde uren securiy research wel eens goed bij elkaar in de buurt kunnen komen; ook in Foxit Reader zijn al flink wat lekken gevonden.

Kortom, statistisch ben je minder kwetsbaar, maar ik krijg er geen warm gevoel van.
04-08-2010, 17:04 door Anoniem
geeft toch niet mensen willen toch juist hun iphone jailbraken?.
04-08-2010, 18:07 door Anoniem
Wat ik niet snap is dat adobe zijn functionaliteiten niet al lang heeft uitgesplitst ... Maak een reader en maak een editor.

Reader zo LIGHT mogelijkt, moet zelfs geen **** javascript ondersteunen ..

En steek al die bloated crap in een editor.

Standaard alle pdf's via de reader openen, 98% van de attack vectors valt plots weg aangezien de reader alleen data LEZEN ondersteund ... als je dan toch al eens een pdf tegenkomt met javascript oid in, dan launch je maar even de editor.

De weg die adobe en foxit nu volgen is dezelfde als microsoft heeft voorgehad bij IE (denk ActiveX crap).
Veel te veel programeerbare functionaliteit die je helemaal niet meer veilig kan krijgen.
En dan moetten er lagen tussenkomen waarbij elk stukje logica 5 keer doorspit moet worden om zeker te zijn dat het geen mallicious crap is.
En dat blijkt dan ook weer defective-by-design te zijn, want het laat obfuscated code toe ofzo ...
04-08-2010, 19:05 door Anoniem
Gelukkig gebruik ik Sumatra.
05-08-2010, 10:39 door Pebkac
De discussie is inmiddels achterhaald :

http://www.security.nl/artikel/34078/1/iPhone_PDF-exploit_schiet_gat_in_Foxit_Reader.html?utm_source=rssfeed&utm_medium=rss&utm_campaign=rssfeed
05-08-2010, 20:05 door Anoniem
Door Anoniem: Wat ik niet snap is dat adobe zijn functionaliteiten niet al lang heeft uitgesplitst ... Maak een reader en maak een editor.

Reader zo LIGHT mogelijkt, moet zelfs geen **** javascript ondersteunen ..

En steek al die bloated crap in een editor.

Standaard alle pdf's via de reader openen, 98% van de attack vectors valt plots weg aangezien de reader alleen data LEZEN ondersteund ... als je dan toch al eens een pdf tegenkomt met javascript oid in, dan launch je maar even de editor.
Als je met editor een viewer bedoelt die geschikt is om bijvoorbeeld PDF-formulieren af te handelen (inclusief de JavaScript), en niet een applicatie waarmee je de PDF zelf bewerkt, dan ben ik het roerend met je eens. Een editor in de laatste betekenis heeft namelijk weer een andere functie, en daar zal ook vaak een ander prijskaartje aan hangen.

Variant op dit idee: maak voor PDF met JavaScript aan boord (en hetzelfde geldt voor elk documenttype met macrocode aan boord) een apart bestandstype aan, en behandel het niet als een PDF-document met uitvoerbare code aan boord maar als een applicatie met een presentatielaag in de vorm van een PDF-document. Andere mime-type, andere extensie, andere signature voorin het bestand, ander icoontje, andere viewer/interpreter. Dan is aan de buitenkant gewoon zichtbaar waar je mee te maken hebt, dan kunnen mail-clients, webbrowsers, en hoe je het allemaal te zien krijgt waarschuwen dat het uitvoeren risico's met zich meebrengt, zoals voor andere uitvoerbare bestanden ook gebeurt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search