"Alternatieve PDF-lezer niet veiliger dan Adobe"
Het gebruik van een alternatieve PDF-lezer in plaats van Adobe Reader of Acrobat, maakt gebruikers en systemen niet veiliger. Dat zegt Timothy Armstrong van het Russische anti-virusbedrijf Kaspersky Lab. Armstrong merkt op dat er voor alternatieven, zoals Sumatra PDF Reader, veel minder aanvallen en exploits worden waargenomen. Toch betekent dit niet dat "obscure software" gebruikers beter beschermd. "Veel van de kwetsbaarheden treffen meerdere leveranciers, en het is lastig om te weten welke kwetsbaarheden open blijven." Daarnaast merkt de virusbestrijder op dat 'security through obscurity' nooit een succesvolle aanpak is geweest. Armstrong gaat echter voorbij aan het feit dat verschillende opties die aanvallers bijvoorbeeld in Adobe Reader gebruiken, niet in veel alternatieven aanwezig zijn.
Het zijn echter niet alleen computergebruikers die hun Adobe software moeten updaten, dit geldt ook voor eigenaren van tablets en smartphones. Adobe bracht deze week een noodpatch uit voor Flash Player, die verschillende beveiligingslekken oploste, waaronder één die actief door hackers wordt gebruikt voor het stelen van vertrouwelijke gegevens.
Updaten
Adobe duikt inmiddels ook steeds vaker op allerlei andere apparaten op. "Doordat het overal aanwezig is, hebben gebruikers met de grote beslissing te maken tussen de kosten van het up-to-date houden van software op meerdere apparaten of het blootstellen van gegevens aan aanvallers", gaat Armstrong verder.
Hij merkt op dat bewustzijn bij gebruikers het grootste struikelblok is. Veel mensen openen allerlei bijlagen en links op hun smartphone, zonder dat ze alle software op de toestellen updaten. "In andere gevallen kan het installeren van updates de functionaliteit met andere applicaties breken. In ieder geval moet er een beslissing worden gemaakt tussen support en security."
Voor PDF readers klopt deze uitspraak niet.
Zelfs voor mijn Escape From PDF PoC (die /Launch cmd.exe gebruikte), waar ik geen kwetsbaarheid misbruikte maar gewoon creatief gebruik maakte van de PDF specificatie, moest ik een aangepaste PoC maken voor Foxit Reader, want Foxit Software had de specificatie niet to-the-letter geïmplementeerd.
En de meeste andere PDF readers implementeren de /Launch feature gewoon niet.
Ik moet nog de eerste malware PDF in-the-wild tegenkomen die zowel Adobe Reader als Foxit Readr misbruikt.
Het liefst zou ik helemaal geen Adobe op mijn systeem willen hebben, maar helaas is er geen acceptabel alternatief voor Premiere of Photoshop. Om over Flash maar niet te spreken.
Het liefst zou ik helemaal geen Adobe op mijn systeem willen hebben, maar helaas is er geen acceptabel alternatief voor Premiere of Photoshop. Om over Flash maar niet te spreken.
Dit dus.
HAAL DIE #$^$#$@ JAVASCRIPT OPTIE eruit..
dan scheelt het veel.
en eh, alternatieve programma's zijn 1000x kleiner.
Is stukken goedkoper en veiliger, wat wil je nog meer?
Is stukken goedkoper en veiliger, wat wil je nog meer?
Maar houd er met PDF-XChange Viewer wel rekening mee dat de standaardinstelling is met JavaScript ingeschakeld en met de mogelijkheid tot Launch Actions ingeschakeld. Twee zaken die veiligheidshalve beter uitgeschakeld kunnen worden.
En daarnaast zit de nieuwe PDF-XChange Viewer versie 3.0 eraan te komen, met daarin Flash ondersteuning toegevoegd, als ik me niet vergis, en daarnaast nog veel meer extraatjes waarom gevraagd is door verschillende gebruikers. Dus nog meer om veiligheidshalve uit te moeten schakelen.
Los daarvan vind ik het een erg prettig programma.
Ik heb geen enkele twijfel omtrent de vraag of de beweringen 'waar' zijn; denk je dat de programmeurs van alternatieve PDF readers geen fouten maken, en dat die software niet vulnerable is ? Gezien het marktaandeel van Acrobat is het logisch dat hier de meeste aandacht naar uitgaat, zowel van criminelen, als van beveiligingsonderzoekers.
De rest van je opmerkingen hebben helemaal niets van doen met de vraag hoe veilig Adobe Acrobat en concurrenten zijn, en zijn daardoor behoorlijk offtopic. Het gaat hier helemaal niet om de vraag welke PDF lezer het kleinst of gebruiksvriendelijkst is, het gaat enkel over de kwetsbaarheden in deze produkten welke misbruikt kunnen worden.
Indien morgen Adobe van de markt zou verdwijnen, dan is binnen de kortste keren een andere PDF reader die marktleider wordt doelwit van cyberaanvallen, en dan lees je dus voortdurend welke kwetsbaarheden in die software zitten, welke verholpen moeten worden.
Indien Adobe Reader er niet meer zou zijn, en 90% van de gebruikers PDF X-Change Pro zou gaan gebruiken, denk je dan niet dat er opeens veel meer vulnerabilities ontdekt zullen worden in deze software, en dat er meer exploits zullen verschijnen ? Is het produkt zoveel veiliger, of krijgt het gewoon nauwelijks aandacht voor wat betreft beveiliging ?
Indien Adobe Reader er niet meer zou zijn, en 90% van de gebruikers PDF X-Change Pro zou gaan gebruiken, denk je dan niet dat er opeens veel meer vulnerabilities ontdekt zullen worden in deze software, en dat er meer exploits zullen verschijnen ? Is het produkt zoveel veiliger, of krijgt het gewoon nauwelijks aandacht voor wat betreft beveiliging ?
Juist dus steeds van software veranderen wat net wat anders is dan de mainstream gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.