Adobe brengt noodpatch uit voor 'lettertypelek' in Reader
Adobe gaat over anderhalve week een noodpatch uitbrengen voor een lek in zijn Reader-software. Het 'lettertypelek' is identiek aan het lek dat wordt gebruikt om de iPhone 4 te jailbreaken. Met Adobe Reader kunnen pdf's worden gelezen.
De patch van Adobe komt niet uit voor iOS, het besturingssysteem van de iPhone, iPod touch en iPad. Apple heeft zelf een pdf-lezer gemaakt voor het bekijken van pdf-bestanden in de Safari-browser. Toch gaat het om hetzelfde lek; een hacker kan code uitvoeren op het besturingssysteem door die in een bepaald lettertype in de pdf te stoppen. De hack is besproken op de Black Hat-conferentie, die vorige week werd gehouden.
De patch komt uit voor Windows, Mac OS X en Linux, meldt Adobe. De fix voor het lek in Adobe Reader komt in de week van 16 augustus. Daarmee valt het buiten de reguliere patchronde van de softwaremaker; de volgende ronde vindt pas in oktober plaats.
Overigens maakt de jailbreak van Jailbreakme.com niet alleen gebruik van het pdf-lek in iOS. Ook een lek in de kernel is nodig om een iOS-apparaat te kunnen jailbreaken. De jailbreak kwam deze week uit en beveiligingsexperts vrezen dat ook hackers de lekken in iOS gaan misbruiken. Apple heeft aangekondigd met een fix voor beide lekken te komen, al is het onduidelijk wanneer de fabrikant iOS van de benodigde update gaat voorzien.
Reacties (41)
Ik vroeg me al af waar dat verdomde Adobe Reader voor is, nu weet ik het e-i-n-d-e-l-i-j-k! Mijn vrijdag is gelijk weer goed!
[/sarcasme]
[/sarcasme]
Als je een sarcastische opmerking wilt maken kun je beter aankaarten dat dat ze 'al' in de week van 16 augustus met een fix komen, in plaats van afgelopen nacht 
ik dacht ook al; noodpatch dus direct uitbrengen, niet anderhalve week wachten.
Begin ook niet over dat ie nog getest moet worden, dan hadden ze maar andere halve week moeten wachten met 't naar buiten brengen van dit bericht!
Begin ook niet over dat ie nog getest moet worden, dan hadden ze maar andere halve week moeten wachten met 't naar buiten brengen van dit bericht!
dus, voor die tijd even geen PDFjes van onbekende bron openen...
Of je opent ze in een VM of sandbox...
*klikt op snelkoppeling van een onbekend pdfje die opent in een java applet*
Geez whats next, malware startknop, verdwijnende sluiten/minimaliseren knoppen. Waar is de tijd gebleven van de virussen die gewoon je virus scanner uitschakelen inclusief het icoontje en 100en toolbars enzo, iedereen in h@x00r land heeft de trend elkaar te overtreffen volgensmij.
Geez whats next, malware startknop, verdwijnende sluiten/minimaliseren knoppen. Waar is de tijd gebleven van de virussen die gewoon je virus scanner uitschakelen inclusief het icoontje en 100en toolbars enzo, iedereen in h@x00r land heeft de trend elkaar te overtreffen volgensmij.
[Reactie gewijzigd door Ventieldopje op vrijdag 6 augustus 2010 12:43]
Je snapt het denk ik niet. Dit heeft niet met overtreffen te maken maar met 'zoek het lek'.
Nu de lekken in IE zijn gedicht gaat men op zoek naar lekken in de plugins die weer draaien binnen IE. De hele wereld heeft de PDF plugin, dus als je daar een lek in aantreft kun je dat mooi gebruiken om mensen te besmetten als ze op een linkje klikken.
Het is dus eigenlijk een goed teken: Hoe obscuurder datgene wat je moet doen om besmet te raken, hoe lastiger het blijkbaar geworden is om 'simpele' lekken te vinden.
Ook is dit weer een overtuigend argument tegen plugins: Doordat iedereen de PDF plugin heeft maakt het niet uit of je nu IE, Firefox of Chrome gebruikt, we zijn allemaal kwetsbaar, want het lek zit gewoon in de plugin.
Nu de lekken in IE zijn gedicht gaat men op zoek naar lekken in de plugins die weer draaien binnen IE. De hele wereld heeft de PDF plugin, dus als je daar een lek in aantreft kun je dat mooi gebruiken om mensen te besmetten als ze op een linkje klikken.
Het is dus eigenlijk een goed teken: Hoe obscuurder datgene wat je moet doen om besmet te raken, hoe lastiger het blijkbaar geworden is om 'simpele' lekken te vinden.
Ook is dit weer een overtuigend argument tegen plugins: Doordat iedereen de PDF plugin heeft maakt het niet uit of je nu IE, Firefox of Chrome gebruikt, we zijn allemaal kwetsbaar, want het lek zit gewoon in de plugin.
"noodpatch" is de een door Webwereld gebruikte kretelogie voor meer aansprekende artikeltitels
Adobe zal het ongetwijfeld hebben over een tussentijdse patch
Adobe zal het ongetwijfeld hebben over een tussentijdse patch
'hotfix' misschien
Alleen al het idee dat er zoiets als reguliere en tussentijdse patches bestaan geeft al aan dat softwarebouwers en bedrijven ook maar een beetje aanrommelen. Als je een auto koopt zegt de verkoper toch ook niet dat er iedere 6 maanden fouten uitgehaald gaan worden. Onderhoudsbeurten zijn niet te vergelijk: daar worden slijtage/verbruiksartikelen bijgewerkt.
Autos met een recall zijn slecht voor je imago en portomonee (toyota anyone) maar als je een recal voor software doet (lees: een patch uitbrengt) ben je goed bezig ipv. de kritiek te krijgen dat er (weer) eens slecht ontworpen en getest is...
Oh ja, ik zit zelf midden in deze koehandel maar verbaas me over het prutswerk waarmee we weg weten te komen ;-)
Autos met een recall zijn slecht voor je imago en portomonee (toyota anyone) maar als je een recal voor software doet (lees: een patch uitbrengt) ben je goed bezig ipv. de kritiek te krijgen dat er (weer) eens slecht ontworpen en getest is...
Oh ja, ik zit zelf midden in deze koehandel maar verbaas me over het prutswerk waarmee we weg weten te komen ;-)
Hoezo??? Had Adobe dan 2 weken moeten zwijgen, doen alsof hun neus bloedt??? Nu geven ze signaal dat ze er met grote prioriteit aan aan het werken zijn, en dat er binnen 10 dagen een oplossing voor handen zal zijn. Netjes toch?
(Vgl het met een storing in een kabel voor internet, is het toch beter om te weten dat het tegen die datum opgelost zal zijn, dan om helemaal niks te horen, in onzekerheid te zitten, je er druk over te maken (want OMG, ze doen helemaal niks!!!), en dan plots te horen, ah ja, we hebben het opgelost... Resultaat, opgekropte woede, levensverwachting -10 jaar, geen vertrouwen meer in de provider, en klagen over gebrek aan communicatie...)
(Vgl het met een storing in een kabel voor internet, is het toch beter om te weten dat het tegen die datum opgelost zal zijn, dan om helemaal niks te horen, in onzekerheid te zitten, je er druk over te maken (want OMG, ze doen helemaal niks!!!), en dan plots te horen, ah ja, we hebben het opgelost... Resultaat, opgekropte woede, levensverwachting -10 jaar, geen vertrouwen meer in de provider, en klagen over gebrek aan communicatie...)
Nee, ze moeten een aankondiging doen, net zo goed als ze moeten testen van hun klanten / partners. PDF's worden voor hele belangerijke zaken gebruikt, dus een patch op de reader moet aan zware eisen voldoen om niets te breken. (bijvoorbeeld bepaalde belastingaangiftes)ik dacht ook al; noodpatch dus direct uitbrengen, niet anderhalve week wachten.
Begin ook niet over dat ie nog getest moet worden, dan hadden ze maar andere halve week moeten wachten met 't naar buiten brengen van dit bericht!
Aargh!PDF's worden voor hele belangerijke zaken gebruikt
Wat dacht je van het feit dat ze moeten zoeken naar de fout, een reparatie moeten bedenken ervoor die niet nog meer lekken opent, en dan de hele shit ook nog in een update sleutelen.
Jullie lijken te denken dat het een lettertje veranderen is oid. maar het kan om een enorme lap code gaan, je zou denken dat mensen op tweakers.net dat wel zouden snappen...
Jullie lijken te denken dat het een lettertje veranderen is oid. maar het kan om een enorme lap code gaan, je zou denken dat mensen op tweakers.net dat wel zouden snappen...
Tja, alleen zou een lek in principe al niet voor moeten komen, net zoals gewone bugs ook niet horen. De allereerste bug was tenminste niet door een programmeur gemaakt maar kwam echt door een oorzaak buiten het programma (het was een insect dat kortsluiting veroorzaakte).
De enige andere bug, die ik ken, waarvoor de programmeur niet de schuldige is, is die bug die de lancering van de eerste Ariane-5 deed mislukken. Het programma was goed, althans voor de Ariane-4, men had echter verzuimd om te checken of het zonder wijzigingen voor de 5 geschikt was. Een bepaalde parameter kon bij de 4 niet de waarde 0 krijgen (dat had de programmeur bewezen, programma checkte daar dus niet op) maar toen bij de 5 die waarde wel optrad, crashte het programma.
De meeste bugs zijn echter het gevolg van onzorgvuldig programmeren en testen, dit meestal onder druk van kosten en deadlines.
De enige andere bug, die ik ken, waarvoor de programmeur niet de schuldige is, is die bug die de lancering van de eerste Ariane-5 deed mislukken. Het programma was goed, althans voor de Ariane-4, men had echter verzuimd om te checken of het zonder wijzigingen voor de 5 geschikt was. Een bepaalde parameter kon bij de 4 niet de waarde 0 krijgen (dat had de programmeur bewezen, programma checkte daar dus niet op) maar toen bij de 5 die waarde wel optrad, crashte het programma.
De meeste bugs zijn echter het gevolg van onzorgvuldig programmeren en testen, dit meestal onder druk van kosten en deadlines.
Dit wordt wel naar beneden gemod maar Neus heeft hier wel een punt imo
Hoe gevoelig zijn alternatieve readers als foxit voor dit lek, weet iemand dat?
Edit: zie net op de site van foxit dat ze gestart zijn met een beta voor iOS. Hierboven bedoelde ik met name de desktopreaders...
Edit: zie net op de site van foxit dat ze gestart zijn met een beta voor iOS. Hierboven bedoelde ik met name de desktopreaders...
[Reactie gewijzigd door hottestbrain op vrijdag 6 augustus 2010 10:42]
Kans dat die het lek denk ik ook bevatten, ook heeft een 'andere reader dan van Adobe' (Apple's eigen implementatie in iOS) hetzelfde lek. Dus ik denk dat er een kans bestaat dat Foxit hetzelfde probleem heeft.
Vreemd zou je zeggen, als het lek niet bij Adobe Reader voorkomt, waarom ze dan wel een 'noodpatch' uit gaan brengen.
Neenee, Adobe brengt geen hotfix uit voor iOS (Foxit), enkel voor Windows, Mac OS X en Linux. Daar heeft Het.Draakje het over (neem ik aan)
Waarom Off-Topic??????????
Waarom Off-Topic??????????
[Reactie gewijzigd door Kerberos84 op vrijdag 6 augustus 2010 15:34]
fox-it heeft al een update klaar, Apple heeft allen zijn iOS nog niet geupdate met de patch
Als het lek een gevolg is van een fout in de PDF specificatie, waar het een klein beetje op lijkt aangezien apple's iOS implementatie niet bij Adobe vandaan komt, is het in theorie zo dat alle readers hier gevoelig voor zijn.Hoe gevoelig zijn alternatieve readers als foxit voor dit lek, weet iemand dat?
Ik denk dat het te maken heeft met de manier van afhandeling door Adobe van het PDF document. Adobe heeft in beide gevallen hetzelfde lek geconstateerd. Ik denk dat dit meer iets zegt over het programma en hoe het een document afhandeld. PDF is een open standard. Hier ontwikkelen zoveel partijen aan mee en het wordt zo uivoerig gecontroleerd dat ik niet denk dat het een lek is in de opbouw van een document.
Net even bij FoxIt op het forum gekeken. Een snelle search heeft mij de volgende twee topics opgeleverd:
http://forums.foxitsoftware.com//showthread.php?t=19130 (Sorry voor de 'reclame' van dit topic. Maar het is wel relevant)
http://forums.foxitsoftware.com//showthread.php?t=18044
Net even bij FoxIt op het forum gekeken. Een snelle search heeft mij de volgende twee topics opgeleverd:
http://forums.foxitsoftware.com//showthread.php?t=19130 (Sorry voor de 'reclame' van dit topic. Maar het is wel relevant)
http://forums.foxitsoftware.com//showthread.php?t=18044
[Reactie gewijzigd door Lyon_NL op vrijdag 6 augustus 2010 10:53]
Offtopic:
Ik heb op dit moment mijn iPhone 3GS gejailbreakt op die manier. Mijn iPhone 4 is onderweg. Ik hoop echt dat deze nog met het huidige iOS 4 wordt verstuurd en niet met een gepatchte variant straks.
Ontopic:
Betreft de stijging van lekken:
"De stijging komt vooral door de programma's van derden: in de top tien van programma's met de meeste gevonden lekken staan vier programma's van Adobe: Air, Reader, Acrobat en Flash Player."
Bron
Wat mij enorm opvalt is dat er veel te vaak lekken zitten in de adobe software die misbruikt kunnen worden. Ook al heb ik een goede anti-virus ik heb hier geen goed gevoel bij. Gelukkig zijn er genoeg alternatieven voor bijv. Adobe reader
Edit: typo's
Ik heb op dit moment mijn iPhone 3GS gejailbreakt op die manier. Mijn iPhone 4 is onderweg. Ik hoop echt dat deze nog met het huidige iOS 4 wordt verstuurd en niet met een gepatchte variant straks.
Ontopic:
Betreft de stijging van lekken:
"De stijging komt vooral door de programma's van derden: in de top tien van programma's met de meeste gevonden lekken staan vier programma's van Adobe: Air, Reader, Acrobat en Flash Player."
Bron
Wat mij enorm opvalt is dat er veel te vaak lekken zitten in de adobe software die misbruikt kunnen worden. Ook al heb ik een goede anti-virus ik heb hier geen goed gevoel bij. Gelukkig zijn er genoeg alternatieven voor bijv. Adobe reader
Edit: typo's
[Reactie gewijzigd door Laurens11 op vrijdag 6 augustus 2010 10:50]
Geen zorgen, de gepatchte variant zal ook worden gekraakt. We hebben het niet anders gezien tot nu toe.Ik hoop echt dat deze nog met het huidige iOS 4 wordt verstuurd en niet met een gepatchte variant straks.
Ja ze zijn nog steeds bezig met een bootrom exploit 
Ja ik gebruik geen adobe reader meer maar foxit reader alleen nog iets vinden voor die Flash 
Voor flash is genoeg variatie te vinden. Zoek maar eens in google naar flashplayer alternatives.
Alweer een lek in Adobe Reader, gaat goed zo!
vandaar dat adobe een noodpatch uit gaat brengen. lijkt me dat er gewoon een fout zit in de PDF specificatie, vooral het gedeelte dat het toevoegen van externe items specificeert.
Ter info:
http://twitter.com/mikkohypponen/status/20289085059
http://twitter.com/mikkohypponen/status/20289085059
Kerel van F-Secure.We had an error in our blog: the latest iPhone PDF exploit only crashes Foxit Reader but has no effect on Adobe Reader. Fixed the post now.
[Reactie gewijzigd door 96284 op vrijdag 6 augustus 2010 11:19]
Een mooie patch is om Adobe te verwijderen. Krijg je ook nog eens 100+MB aan ruimte terug op je HD. 't Is toch geweldig om zo te programmeren en alleen maar een PDF kunnen lezen. Moet je echt fantastisch kunnen programmeren anders krijg je dat niet voor elkaar om een PDF leesbaar op je scherm te krijgen met een reader van onder de 100MB. Dat is gewoon niet onmogelijk!
inderdaad, bizar, geen adobe software op mijn pc!
foxit reader doet het wat dat betreft een stuk beter, gebruik het dan ook al een hele tijd.
kijk wel uit tijdens de setup, ivm de 'bundled software'.
vraag me wel af hoe veilig foxit is ....
foxit reader doet het wat dat betreft een stuk beter, gebruik het dan ook al een hele tijd.
kijk wel uit tijdens de setup, ivm de 'bundled software'.
vraag me wel af hoe veilig foxit is ....
Heeft hetzelfde lek volgens bovenstaande comments...
Vraag me trouwens af of de eerste generatie iPhone (en Ipod Touch) ook een patch gaat krijgen of gewoon kwetsbaar bij 3.1.3 gaat blijven steken...
Wel prachtig dat Adobe de fix niet voor IphoneOS uitbrengt 
Simpelweg omdat dat geen reader is die zij hebben gemaakt, maar een custom reader van apple.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
