ZDI ontvangt recordaantal lekken in pdf-lezers Adobe en Foxit
Vorig jaar hebben onderzoekers bij het Zero Day Initiative (ZDI) een recordaantal kwetsbaarheden in pdf-lezers van Adobe en Foxit gemeld. Het ging om bijna 500 beveiligingslekken die werden gerapporteerd. Het ZDI beloont onderzoekers voor dergelijke meldingen en informeert vervolgens de fabrikant.
De fabrikant is zo in staat om een beveiligingsupdate te ontwikkelen. ZDI hanteert wel een deadline van 120 dagen waarin fabrikanten, na te zijn ingelicht, met een patch moeten komen, anders worden details van het beveiligingslek openbaar gemaakt. In 2018 publiceerde het ZDI advisories over 1444 kwetsbaarheden die onderzoekers hadden gemeld. 427 advisories meer dan in 2017. Van de 1444 kwetsbaarheden waren er 1286 gepatcht op het moment dat de advisory verscheen. Voor 158 kwetsbaarheden was er op het moment dat de advisory werd gepubliceerd geen patch beschikbaar.
De meeste kwetsbaarheden werden in de pdf-lezers van Adobe en Foxit gerapporteerd. In het geval van Foxit ging het om 257 beveiligingslekken, gevolgd door Adobe met 238 kwetsbaarheden. Adobe biedt ook nog andere programma's aan, maar het ZDI meldt dat 96 procent van de Adobe-advisories over Adobe Reader of Acrobat Reader ging.
Volgens Dustin Childs van het ZDI komt deze aandacht voor pdf-lezers door het toegenomen gebruik van pdf-bestanden in actieve exploits. "Het pdf-formaat blijft bij actieve aanvallen worden gebruikt en het einde is nog niet in zicht. Gezien dat dit bestandsformaat door veel applicaties op veel besturingssystemen wordt weergegeven, is het geen verrassing waarom het een aantrekkelijk doelwit blijft. Ontwikkelaars moeten dan ook defense-in-depth-maatregelen nemen om gehele klassen van kwetsbaarheden voor pdf's te verhelpen om een enigszins acceptabel beveiligingsniveau te hebben", stelt Childs.
Het werkelijke aantal gevonden kwetsbaarheden in de pdf-lezers ligt veel hoger, aangezien het hier alleen gaat om kwetsbaarheden die onderzoekers bij het ZDI rapporteerden. Er zijn ook nog andere bedrijven die organisaties belonen voor het melden van kwetsbaarheden. Daarnaast kunnen onderzoekers met hun bevindingen ook direct bij de softwareontwikkelaar aankloppen.
Lol werk je als developer bij een groot bedrijf. Bouw je bewust een berg moeilijk vindbare lekken in en dan vervolgens vinden je vrienden die lekken.
Leuk handeltje als je er bij stilstaat. totaal immoreel natuurlijk.
Ik denk dat ze daar ook eens naar moeten kijken zei deze C++ programmeur.
Die zit bij die 132 zero days van "all others".... ;-)
Waarom denk je dat open source beter is? Dat is denk ik niet zo, de kwaliteit van de grote hoeveelheid open source spul verzameld in dit soort readers is zo goed als je denkt.
Simpel is wel goed, maar dan werkt misschien niet alles.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.