Uitschakelen JavaScript helpt niet tegen PDF-gat

Artikelgereedschap

Aanbevelen

Gepubliceerd: Vrijdag 27 februari 2009
Auteur: Jasper Bakker

Het uitschakelen van JavaScript helpt niet tegen het gat in Adobe's PDF-software. Die maatregel beschermt alleen tegen de huidige exploits.

Adobe is nog altijd spaarzaam met details over het beveiligingslek in de PDF-software. Het bedrijf laat nu wel weten dat het uitschakelen van JavaScript niet helpt tegen dat gat. Die stap werd aangeraden als tijdelijke maatregel tegen misbruik voor dit gat. Malafide PDF-bestanden met ingebouwde Trojans doen al de ronde.

Daarnaast is er ook al een patch van een derde partij verschenen. De noodzaak voor deze noodoplossingen is volgens experts hoog. Het gat is namelijk ernstig, er is al malware voor, en leverancier Adobe komt pas op 11 maart met patches. Die zijn dan voor de PDF-applicaties Adobe Reader 9 en Acrobat 9. Patches voor oudere versies volgen later.

Geen andere tips

De applicatieleverancier meldt dat het uitzetten van JavaScript weliswaar beschermt tegen huidige exploitcode, maar dat daarmee het gat zelf niet is afgedekt. "De kwetsbaarheid bevindt zich niet in de scripting engine. Het uitschakelen van JavaScript elimineert dus niet alle risico's", blogt het Product Security Incident Response Team van Adobe. Security-bedrijf Secunia heeft zelf al een methode gevonden om dit gat te misbruiken zonder JavaScript.

Aobe biedt echter geen andere maatregelen. Het verwijst wel naar leveranciers van security-bedrijven, wiens producten zijn bijgewerkt om deze dreiging te detecteren en onderscheppen. Security-leveranciers krijgen hiervoor informatie van Adobe, en doen ook eigen onderzoek.

Stilhouden

Externe analyses van de PDF-dreiging voor Adobe's software zijn echter beperkt. Niet alleen is de maker de enige met de broncode van de kwetsbare producten, het ontbreekt ook nog aan details over de zwakke plek. Het security-team van Adobe meldt wel dat de fout niet in de engine voor JavaScript zit, maar vertelt niet waar het dan wel aan ligt.

Diverse beveiligingsexperts en hackers stellen dat de beste verdediging juist het delen van informatie is. Die mening staat meestal haaks op de houding van leveranciers; die willen details over security-kwesties juist onder de pet houden. Dergelijke informatie zou namelijk malwaremakers helpen, luidt het argument van de 'stilhouders'. Het bestaan van malware meteen na de ontdekking van een gat - en ruim voor de beschikbaarheid van informatie of patches - ontkracht dat echter. Dit is zogeheten 0-day malware.

Relevante whitepapers

De zes IT-trends anno 2012 Downloaden Wat iedere CIO moet weten om zijn bedrijf op tijd in de juiste richting te begeleiden!
Mobiliteit vraagt om nieuwe security-aanpak Downloaden Mobiele technologie vraagt om een andere aanpak van CIO’s. Lees hier hoe!

Alle whitepapers >>

Categorieën:

Beveiliging,
IT Beheer

Totaal 7 reactiesLaatste reacties

Ander nieuws

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Nieuwste ICT banen powered by Jobworld

Whitepapers

Maximaliseer het voordeel van SaaS

Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.
Downloaden
Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.