Adobe: we laten hackers steeds meer zweten
Door het verbeteren van de softwarecode en het toevoegen van allerlei beveiligingsmaatregelen wordt het steeds lastiger voor hackers om beveiligingslekken te vinden en te misbruiken. Dat stelt Peleus Uhley, Platform Security Strategist bij Adobe. In februari verscheen voor het eerst een lek dat uit de sandbox-beveiliging van Adobe Reader en Acrobat wist te breken.
Volgens Uhley moet het vinden van het lek en ontwikkelen van de exploit die hier misbruik van maakt een hele onderneming voor de aanvallers zijn geweest. De exploit ondersteunde tien verschillende versie van Adobe Reader, met twee subversies afhankelijk van de gebruikte taalinstelling.
Een recent beveiligingslek in Adobe Flash Player bevatte shellcode voor Windows XP, Vista, Windows 7, Server 2003, Server 2003 R2, Server 2008 en Server 2008 R2 en ondersteunde zes verschillende versies van Flash Player.
Professioneel
"Een exploit-ontwikkelaar moet over een robuuste testomgeving beschikken om ervoor te zorgen dat een exploit in zoveel verschillende omgevingen voor elke versie van Flash Player werkt", merkt Uhley op. In dit geval hielden de exploit-ontwikkkelaars zelfs rekening met verschillende processor-architecturen, door zowel een 32-bit als 64-bit lading mee te sturen.
Uhley stelt dat de kwaliteit en stabiliteit van de ontwikkelde exploitcode van een professioneel niveau was. "Het maken van exploits vereist inmiddels dezelfde striktheid als bij professionele software-engineering projecten is vereist."
Leveranciers
Doordat fabrikanten steeds meer beveiligingsmaatregelen toevoegen, zoals sandboxes, moeten aanvallers meerdere kwetsbaarheden aan elkaar koppelen om een applicatie aan te vallen. Daarbij kan het gaan om lekken van verschillende leveranciers. Als voorbeeld geeft Uhley kwetsbaarheid CVE-2013-0643. Een zero-day-lek in Flash Player waarbij zowel code van Adobe als Mozilla werd misbruikt om Firefox-gebruikers aan te vallen.
Aanvallers zouden daardoor ook naar meerdere producten kijken in plaats van alleen één leverancier aan te vallen. "Dit is allemaal onderdeel van de natuurlijke evolutie van het dreigingslandschap en de vercommercialisering van exploits en zal een gelijke evolutie aan de kant van de leveranciers vereisen", besluit Uhley.
Hackers laten adobe steeds meer zweten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.