PDF-documenten vormen een beveiligingsrisico. Adobe heeft al wel een patch uitgebracht voor een gat in zijn gratis PDF Reader, maar security-experts zijn bezorgd.
Adobe heeft patches uitgebracht voor zijn PDF Reader-, Flash- en Acrobat-software. Die programma's hebben een beveiligingsgat waardoor een speciaal aangemaakt PDF-document kwaadwillenden toegang kan geven tot pc's. Deze inbraakmethode gebruikt JavaScript in de PDF (portable document format) en geeft de cracker dan dezelfde rechten als die waarmee de gebruiker is ingelogd.
Beveiligingsbedrijf Core Security Technologies heeft dit ernstige beveiligingslek ontdekt. Pc-gebruikers hoeven alleen maar een 'besmet' PDF-document te openen en hun computers zijn dan te kapen. De Amerikaanse leverancier van security-testsoftware heeft Adobe gelijk gewaarschuwd. De twee bedrijven hebben daarna de nu verschenen patches ontwikkeld.
Applicaties vaker doelwit
"De flinke complexiteit van de meeste veelgebruikte clientside-applicaties, zoals ook Adobe Reader, zorgt voor een breed vlak van potentiële zwakke plekken", verklaart Core-cto Ivan Arce. Microsoft waarschuwt ook al dat crackers het steeds vaker gemunt hebben op veelgebruikte applicaties in plaats van op het onderliggende besturingssysteem.
"In dit geval zorgt het gebruik van een volledige JavaScript-engine in de Adobe-software voor dezelfde implementatiebugs als in hele geavanceerde applicaties", aldus Arce. Hij merkt op dat deze bug bij toeval is ontdekt. De experts van Core onderzochten een fout die al eerder was ontdekt en onthuld, en die betrekking had op een andere applicatie voor het lezen van PDF-bestanden. Dat is de gratis Foxit Reader. De marktdominante PDF Reader van Adobe blijkt een grotendeels gelijke implementatie – inclusief fouten dus – van PDF en JavaScript te hebben als die alternatieve software.
Bijblijven
Het beveiligingsgat is overigens niet aanwezig in de meest recente versie 9 van de Adobe Reader, die in juni dit jaar is uitgekomen. Veel bedrijven nemen echter het updaten van eenvoudig geachte clientapplicaties als een PDF-lezer niet mee in regelmatige update-procedures. Gebruikers van oudere Reader-versies kunnen JavaScript uitschakelen via de Voorkeuren van die applicatie. Dit kan echter bepaalde, wel gewenste functionaliteit weer saboteren.
Ik vraag me af of dit lek ook in Evince (een PDF reader voor GNOME) zit.
Wat ik steeds mis bij deze berichten is
– Technisch bewijs dat het ook werkelijk zo is
– Code-of-proof
(voorbeeldje waarmee je zelf kunt checken of jouw pdf-programma ook last heeft van deze vermeende security breach??
Of het word tijd om Adobe reader uit te gaan rusten met een NoScript variant waarin je als eindgebruiker kunt kiezen Active Content {x} No, [_] yes.
Fijn dat Web 2.0 met “levende elementen” erin.
Wie heeft dat eigenlijk uitgevonden.. een stel hackers??
Classity heeft security scans waar ze dit soort zaken in onderzoeken. Je kunt er ook via de website snel zien welke Acrobat versie je gebruikt en of deze als browserplugin actief is ( http://www.classity.nl/check-acrobat-reader-version.html)