'Beveiligingslek Adobe Reader wordt actief misbruikt'

Onderzoekers van beveiligingsbedrijf FireEye hebben een beveiligingsprobleem in Adobe Reader XI ontdekt dat actief door kwaadwillenden zou worden misbruikt. Met een gemanipuleerd pdf-bestand kan de sandbox-beveiliging van Reader worden omzeild.

Adobe Reader logo (90 pix)De onderzoekers van beveiligingsbedrijf FireEye geven nog maar weinig details over het beveiligingsprobleem, maar willen wel kwijt dat er een exploit beschikbaar is die in het wild wordt misbruikt.

Die exploit zorgt ervoor dat er dankzij het lek in Adobe Reader XI twee dll-bestanden op de computer van het slachtoffer worden geplaatst, wat betekent dat de sandbox-beveiliging van het programma wordt omzeild. Dat is in het verleden eerder gebeurd. De sandbox-beveiliging moet juist voorkomen dat beveiligingsproblemen in een programma invloed op het besturingssysteem kunnen hebben.

De exploit maakt na een succesvolle installatie verbinding met een server op afstand. Wat daarna gebeurt, en of er vervolgens gegevens worden gestolen, geeft het beveiligingsbedrijf niet aan. Duidelijk is wel dat de nieuwste versie van Adobe Reader X ook getroffen is en dat gebruikers het beveiligingsprobleem dus niet kunnen omzeilen totdat er een patch beschikbaar is. FireEye raadt gebruikers aan om geen 'onbekende pdf-bestanden' te openen. Daarnaast is het mogelijk om een alternatieve pdf-lezer te gebruiken. Adobe heeft nog niet inhoudelijk gereageerd.

Door Joost Schellevis

Redacteur

Feedback • 13-02-2013 15:17
31 • submitter: Jimmy89

13-02-2013 • 15:17

31 Linkedin

Submitter: Jimmy89

Lees meer

Adobe Reader

geen prijs bekend

Score: 3

Adobe dicht drie lekken in zijn Flash-speler Nieuws van 27 februari 2013
Adobe gaat beveiligingsproblemen in Reader verhelpen Nieuws van 18 februari 2013
Adobe komt met noodpatch Flash voor misbruikte beveiligingslekken Nieuws van 8 februari 2013
Cisco: onlineadvertenties zijn groter beveiligingsrisico dan porno Nieuws van 31 januari 2013
Microsoft waarschuwt voor lek in IE6, -7 en -8 Nieuws van 30 december 2012
Hacker claimt toegang tot Yahoo-servers Nieuws van 16 december 2012
Hacker maakt gegevens 150.000 Adobe-klanten buit Nieuws van 15 november 2012
Onderzoekers claimen zero day-lek in Adobe Reader gevonden te hebben Nieuws van 8 november 2012
Kaspersky: Java populairste doelwit van malwareauteurs Nieuws van 5 november 2012
Sitecom voorziet Cloud Security van dnt-support en 'exploit-preventie' Nieuws van 25 september 2012
Meer producten en artikelen
Beveiliging en antivirus Overige software Adobe

Reacties (31)

-Moderatie-faq
31
31
21
0
0
2
Wijzig sortering
KC Boutiette
13 februari 2013 15:21
Om dit soort redenen ben ik laatst overgestapt naar de Nuance PDF-Reader. De Foxit reader gaf problemen met Win8. Weet iemand verhalen/statistieken over hoe veilig de Nuance reader is? Ik heb er nog niets over kunnen vinden...
jochem4207
@KC Boutiette13 februari 2013 15:46
Om dit soort redenen ben ik laatst overgestapt naar de Nuance PDF-Reader. De Foxit reader gaf problemen met Win8. Weet iemand verhalen/statistieken over hoe veilig de Nuance reader is? Ik heb er nog niets over kunnen vinden...
De w8 lezer is niet goed genoeg?
S_Chief
@jochem420713 februari 2013 17:30
De w8 lezer is niet goed genoeg?
Ik vind de ingebouwde lezer in Windows 8 best aardig, maar linkjes in een PDF herkent hij niet. Aangezien ik veel met grote PDFjes werk die linkjes bevatten valt deze lezer voor mij af.
Anoniem: 296710
@S_Chief13 februari 2013 19:08
Heb je dit ook laten weten? Elk metro programma in windows 8 van Microsoft heft een functie om wishes en bugs te melden.

Ik vind die w8 lezer super gemakkelijk. Ik vind dat zo een programmas altijd standard bij ossen mag geleverd worden.

[Reactie gewijzigd door Anoniem: 296710 op 13 februari 2013 19:09]

KC Boutiette
@jochem420713 februari 2013 16:12
Ik heb nog niet gevonden hoe ik die kan gebruiken zonder terug te moeten naar de metro omgeving...
CyberDonky
@KC Boutiette13 februari 2013 15:25
Het is in ieder geval een veilige PDF reader dan Adobe Reader. De laatste exploit die ik kan vinden en gefixed is, is de 'Launch Stack Buffer Overflow'

Info:
This module exploits a stack buffer overflow in Nuance PDF Reader v6.0. The vulnerability is triggered when opening a malformed PDF file that contains an overly long string in a /Launch field. This results in overwriting a structured exception handler record. This exploit does not use javascript.
Yggdrasil
@CyberDonky13 februari 2013 15:53
Daaruit kun je niet concluderen dat deze reader veiliger is dan Adobe Reader. Ik zeg niet dat dit niet zo is, maar waar baseer je dit op?

Er is slechts een exploit bekend en gefixed. Aangezien Nuance waarschijnlijk een volledig andere codebase is dan Adobe Reader zegt dat niets over de ander. Er zouden diverse exploits in het 'illegale circuit' kunnen zijn die simpelweg niet bekend zijn gemaakt aan de developers van Nuance. Misschien wordt Nuance ook actief misbruikt, maar valt dit simpelweg onder de radar omdat ze minder bekend zijn.
SpaceK33z
@Yggdrasil13 februari 2013 16:07
Er zijn vrij veel programma's zoals Nuance (Sumatra, Nitro enz.), die relatief onbekend zijn. Voor 'virusschrijvers' is het dan echt niet interessant om voor zo'n relatief kleine userbase exploits te maken. Die willen natuurlijk de massa halen.
MathijsR
@CyberDonky13 februari 2013 15:42
Adobe Reader is inmiddels zo vaak in het nieuws gekomen met security issues dat ik maar overgestapt ben naar Foxit, is ook nog een eens heel stuk lichter in gebruik dan de bloated Adobe Reader.

Dat Reader zo bloated is zal ook wel 1 van de redenen zijn dat er zoveel exploits mogelijk zijn. Veel mogelijke points of entry of hoe je het ook wil noemen. Neem daarbij een enorme userbase aangezien het de standaard suggestie is als PDF reader en je hebt een erg interessant doelwit voor hackers..

Overigens ook wel exploits al voor Foxit gezien, maar relatief weinig, dus voorlopig goed genoeg.
eL-Prova
13 februari 2013 15:30
Wellicht dat je eerst kunt afvragen waarom je uberhaupt "onbekende" pdf's zou gaan openen? Als je ze via e-mail krijgt zie je de afzender waarvan je al kunt bepalen of het goed is of niet. Enige wat risico zou kunnen zijn is e-books die te download worden aangeboden...
Anoniem: 131162
@eL-Prova13 februari 2013 15:46
Ach ik zoek regelmatig datasheets van oudere producten, dan kom je snel op wat vage Oost-Europees websites terecht. (vaak is het product daar langer verkocht, of ze repareren er meer).
Yggdrasil
@eL-Prova13 februari 2013 15:55
Tuurlijk niet. Mensen openen allerlei stomme dingen. Mijn ouders krijgen bijv. nog steeds allerlei 'geinige' filmpjes, PDF's en powerpoint presentaties toegemaild van vrienden die blijkbaar niks beters te doen hebben. Dat zijn bekende afzenders, maar die zijn net zomin in staat te bepalen of een PDF veilig is als mijn ouders.
RRRobert
@Yggdrasil13 februari 2013 16:15
Dat soort familie en vrienden krijgen van mij één waarschuwing. Daarna worden deze afzenders actief geblokt. Leer je gelijk wat je echte vrienden zijn ;)
Anoniem: 80466
13 februari 2013 15:31
volgens mij gaf Adobe vorige week al aan dat het lek actief misbruikt wrd toen zij de patch hebben gereleased.

De titel van het artikel loopt dan dus zwaar achter de feiten aan.
B64
@Anoniem: 8046613 februari 2013 15:47
Dat was toch een noodpatch voor Flash? Of hadden ze er ook nog eentje voor Reader?
Jimmy89
@B6413 februari 2013 15:54
Dat klopt inderdaad, Flash bevatte twee 0-day bugs die in het wild werden misbruikt. Daarvan is vandaag ook weer volgens schema een nieuwe update uitgekomen. De reader bug is nieuw.

https://www.security.nl/artikel/45154/1/Adobe_verhelpt_buslading_Flash-gaten.html

Adobe Reader report:
http://blogs.adobe.com/psirt/2013/02/adobe-reader-and-acrobat-vulnerability-report.html
Seal64
@Anoniem: 8046613 februari 2013 15:52
Zelfs als Adobe vorige week een patch zou hebben uitgebracht, daarmee zijn niet acuut alle lekken gedicht. Als dat lek dus al misbruikt werd, dan zal dat nu nog steeds gebeuren, al zal het langzamerhand wel steeds minder worden.
Ik heb pasgeleden zelf maar de update naar v11 binnengehaald - de auto-update van Adobe zelf gaf aan dat mijn v10 nog helemaal up-to-date was. En het valt me inderdaad op dat het ding er eigenlijk nooit lichter op wordt. Sterker nog, meer als een stuk of tien PDF-jes tegelijk openen wordt standaard niet eens ondersteund omdat het programma geheugen vreet alsof het popcorn is...
skoozie
13 februari 2013 15:22
Mede door dit soort berichten gebruik ik geen adobe meer. ik ben overgestapt op Foxit, vraag me wel af of dat echt veilig is of dat het te klein is om er iets voor te schrijven (hack/virus of nieuws)
Oerdond3r
13 februari 2013 15:22
De standaard pdfreader op Ubuntu en andere distro's:
http://projects.gnome.org/evince/

Ook voor Windows.

Een wat simpelere pdfreader met dus ook minder beveiligingsproblemen volgens mij voor mensen die een alternatief zoeken.
CyberDonky
13 februari 2013 15:23
Nuance PDF Reader... dat is mijn alternatieve PDF reader :) Eigenlijk gebruik ik deze ook alleen maar.
Overigens, als je vertrouwde PDF's opent, dan kan het geen kwaad (:
Carlos0_0
13 februari 2013 15:57
Op dit moment gooi ik adobe reader zelfs van me pc af, ik open thuis bijna nooit pdf bestanden die 1ne keer voor een ticket van een festival ofzo doet de standaard W8 app het ook wel.

En volgens mij kan Word 2013 het tegenwoordig ook openen, deze heb ik ook op me desktop/laptop.

Net als glash flayer/shockwave player eraf gegooid ik gebruik chrome verder werkt het goed, en voor ie update flash via windows update.
Heel veel van die dingen worden standaard bij iedereen geïnstalleerd terwijl er amper gebruik van word gemaakt.

[Reactie gewijzigd door Carlos0_0 op 13 februari 2013 16:09]

moreasy
13 februari 2013 16:34
Tja, als we nu allemaal overstappen op een andere PDF-Reader voorspel ik dat die ook binnen de kortste keren volzit met bloatware. Plus dat deze op termijn gewoon opgenomen wordt in het lijstje van voor hackers interessante tools.

Daarnaast, het lijkt me dat 0-day exploits in minder bekende PDF-Readers nog minder snel worden ontdekt. Wie een minder bekende PDF-Reader gebruikt is bovendien voor bepaalde partijen wellicht nog interessanter als doelwit, net zoals mensen die encryptie gebruiken door sommige organisaties bij voorbaat verondersteld worden verdacht te zijn.

Het wordt hoog tijd dat we PDF's gaan afdrukken als JPG, dan zijn we snel van dit gezeur af.
Wie echt prijs stelt op alle extra functionaliteit van het draagbare formaat zal de problemen voor lief moeten nemen.

Een PDF kan toch gewoon op een website verstopt staan, en zeg maar in-line getoond worden als onderdeel van de site? Dus volgens mij hoef je niet bewust een PDF te openen met Adobe Reader om toch door de malware geprikt te worden.
cc12
@moreasy13 februari 2013 17:14
De meeste zullen wel Adobe blijven gebruiken omdat min-of-meer als de standaard wordt gezien, ook door organisaties die pdf's op hun website hebben staan linken naar de site van adobe om daar de reader te downloaden.

En laten hackers zich nou vooral richten op software wat door de grote massa gebruikt wordt: voor pdf's dus acrobat reader.
Red_inc
14 februari 2013 06:27
Adobe is een goed bedrijf je weet dat ze alle gevonden lekken gaan dichten.
dat weet je niet van de alternatieven

Tevens Arobat reader is gewoon de meest uitgebreide PDF reader.
Hier doen mensen er over klagen , ze vinden dat het voor veel taken te zwaar is.
Maar als je echt veel met PDF's te maken hebt . bijvoorbeeld gebruikt voor handleidingen van honderden pagina's door moet spitten dan zijn die alternatieve PDF readers heel vervelend om te gebruiken kan ik uit eigen ervaring beamen , bij ons op het bedrijfbieden ze standaard Foxit aan eind gebruikers aan , maar die heeft echt veel te weinig opties als je echt aan de slag moet.
danielik
13 februari 2013 16:03
ik gebruikt al jaar en dag sumatra

En op mn android tablet gebruik ik solo pdf. De snelste en de meest gebruiksvriendelijke.
cc12
@danielik13 februari 2013 16:22
Inderdaad Sumatra is ook een interessante PDF-reader en daarnaast onderteund die ook bepaalde ebook formaten. meuk: Sumatra PDF 2.2.1

Ook heb je STDU viewer: http://www.stdutility.com/stduviewer.html
Znorkus
@cc1213 februari 2013 21:44
Sumatra is 5mb inclusief libraries, is waanzinnig snel en responsief, en heeft (vind ik belangrijk) een goeie continuous-scrolling-optie. Adobe is echt verschrikkelijk aan het worden: zo ontzettend zwaar en log en groot, vaak gezeur over updates - pff ;-)
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee