Onderzoekers vinden in 50 dagen 54 lekken in Adobe Reader
Onderzoekers van securitybedrijf Check Point zijn erin geslaagd om in een periode van 50 dagen 54 kwetsbaarheden in Adobe Reader te vinden. De beveiligingslekken zijn de afgelopen maanden door het softwarebedrijf in de pdf-lezer gepatcht.
Voor het onderzoek werd er van een "fuzzer" gebruikgemaakt. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.
"De resultaten verbijsterden ons. In die 50 dagen wisten we meer dan 50 nieuwe kwetsbaarheden in Adobe Reader te vinden. Dat is gemiddeld één beveiligingslek per dag, niet het normale tempo voor dergelijk onderzoek", zeggen onderzoekers Yoav Alon en Netanel Ben-Simon. Ze merken op dat fuzzers veel meer kunnen dan een paar jaar geleden. Toch zijn er veel onderzoekers die er geen gebruik van maken. Reden voor Alon en Ben-Simon om details over hun onderzoek openbaar te maken, alsmede de gebruikte hardware en tools.
Reacties (15)
Sakkerju. Als dat stereotiep wordt voor alle software hangt er een zwaard van Damocles boven ons hoofd aan het bekende zijden draadje.
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
https://www.sumatrapdfreader.org/free-pdf-reader.html
Dit progje van 1895 kB kiloByte is gewoon supersnel zowel qua openen als wel scrollen.
Snelheidsrecord bij mij is het openen van een alleen tekst document (PDF) van 1680 pagina's bevattend een overzicht van alle Nederlandse spreekwoorden en gezegden(*). Dit vliegt in nog geen seconde open vanuit het aanklikken van het document.
(*) Voor de geïnteresseerden:
Dit is de download URL: https://www.dbnl.org/tekst/stoe002nede01_01/stoe002nede01_01.pdf
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
https://www.sumatrapdfreader.org/free-pdf-reader.html
Dit progje van 1895 kB kiloByte is gewoon supersnel zowel qua openen als wel scrollen.
Snelheidsrecord bij mij is het openen van een alleen tekst document (PDF) van 1680 pagina's bevattend een overzicht van alle Nederlandse spreekwoorden en gezegden(*). Dit vliegt in nog geen seconde open vanuit het aanklikken van het document.
(*) Voor de geïnteresseerden:
Dit is de download URL: https://www.dbnl.org/tekst/stoe002nede01_01/stoe002nede01_01.pdf
Ik ben meer geinteresseerdin een malware vrye fuzzer en met name de fuzzer die die onderzoekers gebruikten.
Men moet wel weten welk besmet document men in welke reader zonder bezwaar zou kunnen openen.
PDF exploits zijn meestal reader-viewer-exploits. Sumatra, Foxit, Adobe, etc.
Je moet in een dergelijk geval wel weten voor welke readers het exploit is ontworpen.
Ook kun je een verdacht document openen met Google docs, die het dan zal omzetten naar HTML.
Dan kan de eventuele payload je niet in de k*nt bijten.
Tenminste als je Google met de content van het betreffende pdf-document vertrouwt via je Google account?
Betreft het een javascript afhankelijk exploit dan is uitschakelen van javascript een optie.
luntrus
PDF exploits zijn meestal reader-viewer-exploits. Sumatra, Foxit, Adobe, etc.
Je moet in een dergelijk geval wel weten voor welke readers het exploit is ontworpen.
Ook kun je een verdacht document openen met Google docs, die het dan zal omzetten naar HTML.
Dan kan de eventuele payload je niet in de k*nt bijten.
Tenminste als je Google met de content van het betreffende pdf-document vertrouwt via je Google account?
Betreft het een javascript afhankelijk exploit dan is uitschakelen van javascript een optie.
luntrus
Door Balder: Sakkerju. Als dat stereotiep wordt voor alle software hangt er een zwaard van Damocles boven ons hoofd aan het bekende zijden draadje.[/url]
Adobe is wat dat betreft denk ik wel een extreem negatieve uitzondering. Het hele idee achter SSDLC en een veilige applicatiearchitectuur is nooit doorgedrongen tot hun dagelijkse werk, de programmeurs besteden er overduidelijk onvoldoende aandacht aan en hebben mogelijkerwijs ook de kennis helemaal niet op dat gebied. Misschien zijn de Adobe programmeurs simpelweg slecht, want ja, er lopen een hoop slechte programmeurs rond, net zoals er een hoop slechte mensen in andere vakgebieden rondlopen, zoals ik recent aan den lijve heb mogen ondervinden bij het leggen van een nieuwe vloer.
Door Balder: Sakkerju. Als dat stereotiep wordt voor alle software hangt er een zwaard van Damocles boven ons hoofd aan het bekende zijden draadje.
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
https://www.sumatrapdfreader.org/free-pdf-reader.html
Dit progje van 1895 kB kiloByte is gewoon supersnel zowel qua openen als wel scrollen.
Snelheidsrecord bij mij is het openen van een alleen tekst document (PDF) van 1680 pagina's bevattend een overzicht van alle Nederlandse spreekwoorden en gezegden(*). Dit vliegt in nog geen seconde open vanuit het aanklikken van het document.
(*) Voor de geïnteresseerden:
Dit is de download URL: https://www.dbnl.org/tekst/stoe002nede01_01/stoe002nede01_01.pdf
Is deze dan wel zo veilig? Anders heb je er nog niets aan..On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
https://www.sumatrapdfreader.org/free-pdf-reader.html
Dit progje van 1895 kB kiloByte is gewoon supersnel zowel qua openen als wel scrollen.
Snelheidsrecord bij mij is het openen van een alleen tekst document (PDF) van 1680 pagina's bevattend een overzicht van alle Nederlandse spreekwoorden en gezegden(*). Dit vliegt in nog geen seconde open vanuit het aanklikken van het document.
(*) Voor de geïnteresseerden:
Dit is de download URL: https://www.dbnl.org/tekst/stoe002nede01_01/stoe002nede01_01.pdf
Door Balder: Sakkerju. Als dat stereotiep wordt voor alle software hangt er een zwaard van Damocles boven ons hoofd aan het bekende zijden draadje.
On topic .....
Jouw intro is het meest wezenlijke. Wat je on topic noemt is off topic. Softeareengineering wordt al tijden verwaarloosd.On topic .....
Ooit wat het de basis wat je moest leren. Edsger Dijkstra etc.
Nu is het time to market en als je maar code hebt (snel goedkooop).
Het doorlopen van programmatuur waar de input meerdere onafhankelijkheden heeft (predictors) levert snel een hoeveelheid migelijkheden op welke praktische zaken te boven gaat. Je kunt met fuzzers wat doen. Het is een monte Carlo big data idee.
De onzekerheid dat bij een crash het ook echt gaat om een kwetsbaarheid dan wel een don't care situatie, is wat nog bekeken moet worden. Net zoals het toevallig ongemerkt door lopen maar dan met een totaal foute toestand.
Je ziet de type A en type B fouten terugkomen in de opzet.
Balder, je noemt Sumatra PDF reader een prima alternatief omdat het klein is. Maar is het ook veilig? We keuren Adobe Reader af omdat het niet veilig is. 'Veilig' en 'klein' zijn verschillende dingen.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
Door Anoniem: Balder, je noemt Sumatra PDF reader een prima alternatief omdat het klein is. Maar is het ook veilig? We keuren Adobe Reader af omdat het niet veilig is. 'Veilig' en 'klein' zijn verschillende dingen.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
De theorie is, hoe kleiner des te veiliger.
Immers, minder regels code dus minder kans op bugs.
Sumatra is in 2017 gehacked door de CIA. Goede software, want waarom zouden ze dat anders doen.
Veilige software? Bestaat dat eigenlijk wel?
Veilige software? Bestaat dat eigenlijk wel?
Door Anoniem:
De theorie is, hoe kleiner des te veiliger.
Immers, minder regels code dus minder kans op bugs.
Door Anoniem: Balder, je noemt Sumatra PDF reader een prima alternatief omdat het klein is. Maar is het ook veilig? We keuren Adobe Reader af omdat het niet veilig is. 'Veilig' en 'klein' zijn verschillende dingen.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
Sumatra PDF kan een prima alternatief zijn, als het aan dezelfde testen onderworpen wordt en dan veilig blijkt te zijn.
Als iets niet bewezen veilig is, dan is het dus niet veilig.
De theorie is, hoe kleiner des te veiliger.
Immers, minder regels code dus minder kans op bugs.
Ja daar ga ik ook van uit.
Ik ben geen software-engineer, maar bedenk slechts: Er valt minder code malafide te exploiteren in kleine bestanden.
Een vergelijking in grootte: een gemiddeld Excel document met meerdere tabs en formules komt al in de buurt van deze Reader. Ik ken geen ander voorbeeld van office gerelateerde programma's die zo klein zijn.
Algemeen gesteld: natuurlijk zal deze Reader ook wel te exploiteren zijn maar hoe groot is de target, ofwel aantal beoogde slachtoffers? Dat is de gedachte van criminelen die een xploit schrijven, en bij Adobe Reader is die groot, net als bij een ander produkt van hen: Flash.
Ik denk dat je redelijk veilig zit met het gebruik van deze kleine Reader.
Maar nogmaals: In niets heb je zekerheid. ook niet in de digitale wereld.
Door Balder: Sakkerju. ..
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
"Wij zijn pas tevree, met een Nietszeggend Spreekwoord op elke plee"On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
"Beeelachhhelijk, wat een onzin die dure auto's vol electronica.
Achterlijk om een Tesla te kopen want dit (https://en.wikipedia.org/wiki/File:Bantam-jeep-1.jpg) rijdt ook.
Minimaal drie wielen en een stuur zijn voldoende!"
As is verbrande turref
"Neem sumatrablablabla.."
Onzin natuurlijk want die Adobe reader heeft veel meer interactieve functionaliteit in huis waar een hele ambtelijke industrie en dus de halve bevolking (verplicht) op leunt.
Bijvoorbeeld
https://www.pianoo.nl/nl/regelgeving/aanbestedingswet/uniform-europees-aanbestedingsdocument/interactieve-pdf-uniform#Downloadrestricties
Veel voorkomend gevraagd om in te vullen
"uniformeuropeesaanbestedingsdocument-versie1-juni2017.pdf"
Lukt alleen met die moloch van adobe reader van een halve GB.
Ben er ook niet blij mee maar Adobe Reader heeft nou eenmaal bakken meer met functionaliteit aan boord waar kennelijk behoefte aan is.
Bakken meer aan functionaliteit biedt ook meer ruimte voor misbruik of voor fouten dat is nou eenmaal zo en daar hoef je bepaald geen fan van adobe voor te zijn om dat te snappen.
Maar als je op nivootje robbedoessakkerju blijft hangen is dat misschien wat te hoog gegrepen. Hoe leuk die strips verder ook zijn.
Door Anoniem:
"Beeelachhhelijk, wat een onzin die dure auto's vol electronica.
Achterlijk om een Tesla te kopen want dit (https://en.wikipedia.org/wiki/File:Bantam-jeep-1.jpg) rijdt ook.
Minimaal drie wielen en een stuur zijn voldoende!"
As is verbrande turref
"Neem sumatrablablabla.."
Onzin natuurlijk want die Adobe reader heeft veel meer interactieve functionaliteit in huis waar een hele ambtelijke industrie en dus de halve bevolking (verplicht) op leunt.
Bijvoorbeeld
https://www.pianoo.nl/nl/regelgeving/aanbestedingswet/uniform-europees-aanbestedingsdocument/interactieve-pdf-uniform#Downloadrestricties
Veel voorkomend gevraagd om in te vullen
"uniformeuropeesaanbestedingsdocument-versie1-juni2017.pdf"
Lukt alleen met die moloch van adobe reader van een halve GB.
Ben er ook niet blij mee maar Adobe Reader heeft nou eenmaal bakken meer met functionaliteit aan boord waar kennelijk behoefte aan is.
Bakken meer aan functionaliteit biedt ook meer ruimte voor misbruik of voor fouten dat is nou eenmaal zo en daar hoef je bepaald geen fan van adobe voor te zijn om dat te snappen.
Maar als je op nivootje robbedoessakkerju blijft hangen is dat misschien wat te hoog gegrepen. Hoe leuk die strips verder ook zijn.
Door Balder: Sakkerju. ..
On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
"Wij zijn pas tevree, met een Nietszeggend Spreekwoord op elke plee"On topic m.b.t. Adobe Reader: Als je echt alleen maar een 'lezer' nodig hebt voor PDF's is een prima alternatief de Sumatra PDF reader.
"Beeelachhhelijk, wat een onzin die dure auto's vol electronica.
Achterlijk om een Tesla te kopen want dit (https://en.wikipedia.org/wiki/File:Bantam-jeep-1.jpg) rijdt ook.
Minimaal drie wielen en een stuur zijn voldoende!"
As is verbrande turref
"Neem sumatrablablabla.."
Onzin natuurlijk want die Adobe reader heeft veel meer interactieve functionaliteit in huis waar een hele ambtelijke industrie en dus de halve bevolking (verplicht) op leunt.
Bijvoorbeeld
https://www.pianoo.nl/nl/regelgeving/aanbestedingswet/uniform-europees-aanbestedingsdocument/interactieve-pdf-uniform#Downloadrestricties
Veel voorkomend gevraagd om in te vullen
"uniformeuropeesaanbestedingsdocument-versie1-juni2017.pdf"
Lukt alleen met die moloch van adobe reader van een halve GB.
Ben er ook niet blij mee maar Adobe Reader heeft nou eenmaal bakken meer met functionaliteit aan boord waar kennelijk behoefte aan is.
Bakken meer aan functionaliteit biedt ook meer ruimte voor misbruik of voor fouten dat is nou eenmaal zo en daar hoef je bepaald geen fan van adobe voor te zijn om dat te snappen.
Maar als je op nivootje robbedoessakkerju blijft hangen is dat misschien wat te hoog gegrepen. Hoe leuk die strips verder ook zijn.
Vertoon je continu deze diepe minachting voor mensen met andere visies? Triest.
Schaf kapitalisme af. Kwaliteit komt terug en zelfs Adobe kan dan weer software gaan schrijven. In plaats van kleuterklasprojectjes vol met gaten en bugs. Daar kunnen ze dan zelfs echte coders voor aannemen in plaats van de gebruikelijke 10 ct per regel prutsers uit India.
Door Rexodus: Schaf kapitalisme af. Kwaliteit komt terug en zelfs Adobe kan dan weer software gaan schrijven. In plaats van kleuterklasprojectjes vol met gaten en bugs. Daar kunnen ze dan zelfs echte coders voor aannemen in plaats van de gebruikelijke 10 ct per regel prutsers uit India.
"10 ct per regel prutsers uit India ??"
Heb je wel eens 1 keer de moeite genomen om de herkomst van de namen van top software-enigineers te lezen?
Neen, want dan nam je het woord prutsers wel heel snel terug en bood je - àls je een vent met karakter bent? - hier ruimhartig je excuses aan voor je kortzichtige beledigende woorden!
Door Balder:
"10 ct per regel prutsers uit India ??"
Heb je wel eens 1 keer de moeite genomen om de herkomst van de namen van top software-enigineers te lezen?
Neen, want dan nam je het woord prutsers wel heel snel terug en bood je - àls je een vent met karakter bent? - hier ruimhartig je excuses aan voor je kortzichtige beledigende woorden!
Door Rexodus: Schaf kapitalisme af. Kwaliteit komt terug en zelfs Adobe kan dan weer software gaan schrijven. In plaats van kleuterklasprojectjes vol met gaten en bugs. Daar kunnen ze dan zelfs echte coders voor aannemen in plaats van de gebruikelijke 10 ct per regel prutsers uit India.
"10 ct per regel prutsers uit India ??"
Heb je wel eens 1 keer de moeite genomen om de herkomst van de namen van top software-enigineers te lezen?
Neen, want dan nam je het woord prutsers wel heel snel terug en bood je - àls je een vent met karakter bent? - hier ruimhartig je excuses aan voor je kortzichtige beledigende woorden!
India kent vele toppers in wiskunde en informatica. Maar die worden niet voor 10 cent per regel verkocht. Degenen die wel voor die prijs worden verkocht zullen waarschijnlijk - ongeacht hun nationaliteit - wel aan de pejoratieve kwalificatie van Rexodus voldoen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.