| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
security / Nieuws
PDF's vormen beveiligingsrisico
Het veelgebruikte PDF kan een gok voor je security zijn.
PDF-documenten vormen een beveiligingsrisico. Adobe heeft al wel een patch uitgebracht voor een gat in zijn gratis PDF Reader, maar security-experts zijn bezorgd.
Adobe heeft patches uitgebracht voor zijn PDF Reader-, Flash- en Acrobat-software. Die programma's hebben een beveiligingsgat waardoor een speciaal aangemaakt PDF-document kwaadwillenden toegang kan geven tot pc's. Deze inbraakmethode gebruikt JavaScript in de PDF (portable document format) en geeft de cracker dan dezelfde rechten als die waarmee de gebruiker is ingelogd.
Beveiligingsbedrijf Core Security Technologies heeft dit ernstige beveiligingslek ontdekt. Pc-gebruikers hoeven alleen maar een 'besmet' PDF-document te openen en hun computers zijn dan te kapen. De Amerikaanse leverancier van security-testsoftware heeft Adobe gelijk gewaarschuwd. De twee bedrijven hebben daarna de nu verschenen patches ontwikkeld.
Applicaties vaker doelwit
"De flinke complexiteit van de meeste veelgebruikte clientside-applicaties, zoals ook Adobe Reader, zorgt voor een breed vlak van potentiële zwakke plekken", verklaart Core-cto Ivan Arce. Microsoft waarschuwt ook al dat crackers het steeds vaker gemunt hebben op veelgebruikte applicaties in plaats van op het onderliggende besturingssysteem.
"In dit geval zorgt het gebruik van een volledige JavaScript-engine in de Adobe-software voor dezelfde implementatiebugs als in hele geavanceerde applicaties", aldus Arce. Hij merkt op dat deze bug bij toeval is ontdekt. De experts van Core onderzochten een fout die al eerder was ontdekt en onthuld, en die betrekking had op een andere applicatie voor het lezen van PDF-bestanden. Dat is de gratis Foxit Reader. De marktdominante PDF Reader van Adobe blijkt een grotendeels gelijke implementatie - inclusief fouten dus - van PDF en JavaScript te hebben als die alternatieve software.
Bijblijven
Het beveiligingsgat is overigens niet aanwezig in de meest recente versie 9 van de Adobe Reader, die in juni dit jaar is uitgekomen. Veel bedrijven nemen echter het updaten van eenvoudig geachte clientapplicaties als een PDF-lezer niet mee in regelmatige update-procedures. Gebruikers van oudere Reader-versies kunnen JavaScript uitschakelen via de Voorkeuren van die applicatie. Dit kan echter bepaalde, wel gewenste functionaliteit weer saboteren.
- Aia Software voldoet aan archiveringstandaard
- McAfee: Kredietcrisis is beveiligingsrisico
- Oude bugs blijven bijten
- Microsoft: crackers zoeken het hogerop
- Adobe dicht lek in Acrobat en Reader voor november
- Beveiligingslek in Adobe Acrobat/Reader
- Crackers benutten patch-informatie
- Adobe biedt patch voor beveiligingsgat Acrobat Reader
- Technisch bewijs dat het ook werkelijk zo is
- Code-of-proof
(voorbeeldje waarmee je zelf kunt checken of jouw pdf-programma ook last heeft van deze vermeende security breach??
Of het word tijd om Adobe reader uit te gaan rusten met een NoScript variant waarin je als eindgebruiker kunt kiezen Active Content {x} No, [_] yes.
Fijn dat Web 2.0 met "levende elementen" erin.
Wie heeft dat eigenlijk uitgevonden.. een stel hackers??
- 14:05 Subsidie voor ICT-opleiding blijkt niet populair
- 14:15 ICT'er vindt flexwerken belangrijk
- 13:28 Virusprobleem AZM is nog niet opgelost
- 14:23 Juniper en ProCurve winnen terrein op Cisco
- 13:03 Bouw & ICT 2010: CORA zingt rond
- 10:58 Bedrijven krijgen subsidie voor ICT-opleidingen
- 10:49 Siemens versimpelt zijn ICT-divisie
- 10:33 Leeuwarden zoekt testers voor Drupal-site
- 17:36 Eurlings zet tender Kilometerheffing stop
- 15:59 Ook studentinformatiesysteem UvA is vertraagd
Meer Security
Tijd om de Firewall te repareren
In de laatste decenia, het toegenomen volume aan internet content, bedreigingen en applicaties op het bedrijfsnetwerk......
Computable Events - Security
Computable organiseert verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:
Webcast Security | 10-04-08Op veilige manier kunnen anywhere-ken
15-02 17:44 Steeds meer bedrijven kijken naar het nieuwe werken. De opkomst ervan wordt dan ook veel vanuit leveranciers, maar ook vanuit overheden, gestimuleerd. Termen als 'efficiënter...
Security achtergrondSaaS verhoogt noodzaak host-based intrusion protection-systeem
11-03 11:09 Network-based intrusion prevention/detection-systemen op de perimeter van het netwerk zijn inmiddels voor vele organisaties gemeengoed geworden. Maar waar blijft de acceptatie van...
Security opinieSonicWall komt met nieuwe security producten
19-03 10:30 SonicWall, specialist in beveiliging van netwerkinfrastrucuren, introduceert de nieuwe Firewall NSA E8500. Daarnaast komt het bedrijf met nieuwe oplossingen voor grote...
Security productenTransparante systeemtoegang voor 17.000 UWV-medewerkers
16-07 11:15 Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...
Security praktijk
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / Banen.nl / CompanyRating / IntermediairPW / HRbase.nl / Financebase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / IT Directory.nl / Computable / CRN / Tweakers.net / Koopinfo / IT Knowledge Base /
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © 1995-2010 VNU Media