Noodpatch Adobe dicht 23 PDF-gaten
Gepubliceerd: Woensdag 6 oktober 2010
Auteur: Jasper Bakker
De nieuwste urgente patch voor Adobe's PDF-software dicht een record van 23 gaten. Het is de vierde noodpatch dit jaar, Adobe moet steeds afwijken van zijn vaste patchcyclus.
Het merendeel van de 23 kwetsbaarheden waar Adobe nu een patch voor biedt, is kritiek. Zeker één daarvan wordt in de praktijk al gebruikt door malware om pc's binnen te komen en eventueel over te nemen. Het aantal van 23 gedichte gaten is een patchrecord voor Adobe dit jaar en benadert het record van 29 stuks vorig jaar, meldt Computerworld.com.
Ook een nieuw 'hoogtepunt' is het feit dat dit alweer de vierde noodpatch is dit jaar. De reguliere patchrondes van Adobe vinden om de drie maanden plaats, en vallen dan tegelijk met de maandelijkse Patch Tuesday van Microsoft. Adobe is in juni vorig jaar overgegaan op dit vaste ritme voor het uitbrengen van patches. Die zijn voor de gratis PDF-leessoftware Reader en voor het betaalde PDF-bewerkpakket Acrobat.
Vast ritme, met variatie
De eerste ronde van dit jaar was op 12 januari. Sindsdien is er al vier keer afgekeken van die kwartaalcyclus, voor kritieke lekken waar malware misbruik van maakt. Dat is gebeurd in februari (versie 9.3.1), in juni (9.3.3), in augustus (9.3.4) en deze week (9.4.0). De enige update dit jaar volgens de kwartaalplanning was dus versie 9.3.2.
Begin vorige maand is al gebleken dat het nieuwste lek in Adobe's PDF-software actief wordt misbruikt door malwaremakers. De softwareproducent heeft toen aangegeven zich te beraden op het tijdschema voor het uitbrengen van de patch hiervoor. Halverwege september heeft het aangekondigd dat er inderdaad een noodpatch komt: deze week, net zeven dagen voor de geplande volgende patch-ronde op 12 oktober. Afgelopen vrijdag, 30 september, is er nog een vooraankondiging gedaan.
Volledige download bijgewerkt
Adobe heeft de nieuwste update ditmaal meteen verwerkt in de volledige Reader-download die het aanbiedt, voor nieuwe installaties van die gratis PDF-leessoftware. Voorheen heeft het enkele weken geduurd voordat de volledige uitvoering ook was bijgewerkt naar de nieuwste, veiligere versie. Na downloaden was dus direct updaten vereist, of anders onveilig zijn.
Adobe heeft weliswaar een automatische update-tool gedistribueerd naar en geactiveerd bij Reader-installaties, maar die slaat niet gelijk aan. Detectie en dan automatische download - maar niet automatische installatie - kan ook nog enige tijd in beslag nemen. Opvallend is dat de patch dinsdagavond (Nederlandse tijd) nog niet was opgedoken op de downloadpagina voor Reader-updates (versie 9.3.4), maar al wel in de volledige uitvoering (versie 9.4.0).
Jailbreaken met PDF
In augustus is ook al een noodpatch voor Reader uitgebracht. Dat dichtte een beveiligingsgat dat niet alleen in Adobe's software zit, maar in de PDF-specificaties. Het lek is ook aanwezig in andere PDF-software, waaronder die op de iPhone. Daardoor is was combinatie met een kernel-lek in iOS de iPhone zeer makkelijk te jailbreaken.
Sandboxing
Adobe werkt aan een ingebouwde bescherming (sandboxing) voor zijn gratis PDF-viewer. Die komt echter pas met de volgende grote versie, nummer 10 dus. Het is nog onbekend wanneer die update met de nieuwe security-technologie uitkomt.
Dat zogeheten Protected Mode schermt code af in strikt afgesloten geheugengebieden (sandboxes) waardoor malware niet kan 'uitbreken' om een pc te besmetten. Adobe brengt deze 'firewall' niet uit voor de huidige versie 9 of het oudere 8, heeft het bedrijf al laten weten in een interview met Webwereld.
