image

Google onthult Adobe Reader-lek voor Mac OS X

zaterdag 31 januari 2015, 00:08 door Redactie, 6 reacties

Google heeft een beveiligingslek in Adobe Reader onthuld dat in de Windowsversie van de pdf-lezer zou zijn gepatcht, maar in de Mac-versie nog steeds aanwezig is. De kwetsbaarheid werd vorig jaar oktober aan Adobe gemeld. In december zou er een update voor de Windowsversie zijn verschenen, maar Adobe liet aan Google weten dat het niet was gelukt om een oplossing voor de Mac-versie uit te brengen.

Deze week verliep echter de deadline die Google had gesteld. Het "Project Zero Team" van de zoekgigant zoekt speciaal naar kwetsbaarheden in veelgebruikte software. Zodra er een lek wordt gevonden krijgt de betreffende leverancier 90 dagen de tijd om met een update te komen, anders worden de details van de kwetsbaarheid automatisch openbaar gemaakt. Adobe was nog wel door Google gewaarschuwd dat het de details zou openbaren.

Via het lek is het mogelijk om de applicatie te laten crashen, wat mogelijk tot een "heap-based buffer overflow" kan leiden. Opmerkelijk is trouwens dat Adobe aan Google liet weten het lek in de Windowsversie te hebben gepatcht. Het lek in kwestie, aangeduid als CVE-2014-9160, komt echter niet voor in het overzicht van de Adobe Reader-update.

Reacties (6)
31-01-2015, 01:47 door Anoniem
Elk nadeel heb ze voordeel, en dat is ......


Dat je Adobe Reader niet nodig hebt op de Mac !!!

(vrijwel bijna niet tot nooit)

Gebruik fijn je Voorvertoning/Preview.app.
Kan je afbeeldingen mee bewerken en ook tot op zeker hoogte pdf's.

Voorvertoning/Preview.app is een stuk veiliger want niet zo geavanceerd als Adobe Reader, javascripts in de pdf werken niet in Voorvertoning/Preview.app.
Dus ook de slechte niet! Is dat even mooi.

Stel in ieder geval Voorvertoning/Preview.app in als standaard pdf lezer op de Mac mocht dat nog niet het geval zijn.
Selecteer een pdf document (niet openen, alleen selecteren) pak de toetscombi "cmd" "i" en een info windowtje verschijnt.
In dit informatie windowtje kan je ergens halverwege het standaard programma kiezen waarmee je pdf's geopend wil zien, kies voor de Voorvertoning/Preview.app en selecteer daarom de de button voor "Change all/.."

Geregeld!

(heel) Soms zijn er gevallen waarin je een pdf hebt dat is aangemaakt met Adobe Reader en echt alleen wil openen met Adobe Reader, of dat je inderdaad met pdf's werkt of moet werken die voorzien zijn van allerlei invulvelden vol met javascripts.
Ja dan ontkom je er niet aan om deze Adobe Reader te gebruiken.
De keer van de uitzondering op de gewone veiliger gebruiksregel.
Sleep dan het pdf file naar het Adobe Reader.app icoon in je dock en je opent dan het pdf met Adobe Reader.
Standaard klikken op een pdf file zal standaard Voorvertoning/Preview.app selecteren, precies de bedoeling want wel zo veilig!

Adobe Reader, je kan het over het algemeen zeer goed missen.
Als je hem wel hebt geïnstalleerd en ook gebruikt, zorg dan dat het up to date blijft (dat is een must want het is een van de populaire aanvalsvectoren naast bijvoorbeeld Java en de Adobe Flashplugin).

Is er een probleem zoals nu, geen nood want 99% van de pdf's kan je fijn gewoon openen met de veiliger Voorvertoning/Preview.app .

Easy, simpel, opgelost voor nu
en even wachten maar
op Adobe

;)
31-01-2015, 11:39 door [Account Verwijderd] - Bijgewerkt: 31-01-2015, 11:40
[Verwijderd]
31-01-2015, 12:09 door Anoniem
Even snel een zoektocht gedaan naar "Adobe Reader" op m'n mac... enige dat naar boven komt zijn mailtjes van bedrijven die vinden dat ik dat moest installeren. Nooit nodig gehad dus....
31-01-2015, 13:47 door Anoniem
Ik gebruik Adobe reader toch niet op mijn Mac's,ik gebruik gewoon de eigen ingebouwde in OSX zelf,als ik die nodig heb.
Maar leuk dat dat gemeld,wordt door google,dat ze zo vriendelijk zijn alsmaar lekken te melden.
31-01-2015, 14:16 door Anoniem
Nooit denken mijn versie is niet genoemd dus zal het wel veilig zijn. Het gaat er om dat je niet weet wat je niet weet.
Apple's Preview komt van het NEXT systeem af en is al vrij oud. Het mist alle laatste updates naar de ISO standaarden. Een voorbeeld blog: http://duff-johnson.com/2014/04/07/apples-preview-still-not-safe-for-work/

CVE-s (dat zijn de errors) komen net zo goed voor in die hoek. Er zijn ook daar bij Apple een aantal bekende core fouten
http://support.apple.com/en-us/HT204244 zoek maar eens op PDF.

Impact: Opening a maliciously crafted PDF file may lead to an unexpected application termination or arbitrary code execution
Description: A buffer overflow existed in the handling of font files. This issue was addressed through improved bounds checking.
Uhhh echt op de apple site hoor.
31-01-2015, 14:38 door Briolet
Door Anoniem:…Dat je Adobe Reader niet nodig hebt op de Mac !!!

(vrijwel bijna niet tot nooit)

Gebruik fijn je Voorvertoning/Preview.app.

Gelukkig maak je zelf ook een klein voorbehoud, want ik heb hem elk jaar weer nodig als ik de Essent jaarrekening pdf wil uitprinten. Al jarenlang krijg ik print-errors als ik het met Voorvertoning doen. Ook dit jaar weer met Yosemite.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.