PDF-sårbarheder eksploderer i antal
Webapplikationer stod for næsten halvdelen af alle de sårbarheder, der blev registreret sidste år. Det fremgår af IBM's sikkerhedsafdeling X-Forces årsrapport, som blev offentliggjort torsdag.
Ganske vist er der sket et samlet fald på 11 procent i antallet af sårbarheder, som blev afsløret i 2009 i forhold til 2008, men huller i webapplikationer udgjorde i 2009 hele 49 procent af de sårbarheder, X-Force registrerede.
Der er dog sket et fald inden for de største kategorier som SQL-injektion og ActiveX.
Den største vækst inden for sårbarheder er inden for kategorien dokumentlæsere og multimedieprogrammer, hvor X-Force har registreret 50 procent flere sårbarheder.
Det dækker over sårbarheder i blandt andet Adobes programmer Adobe Reader og Adobe Flash Player, som i stigende grad bliver misbrugt til at sprede ondsindede programmer ved hjælp af PDF-filer eller ondsindet kode på hjemmesider.
Programmer som netop Adobe Reader er blevet hackernes nye mål i takt med, at Microsoft først har forbedret sikkerheden Windows Vista og Windows 7, samt at udviklerne af de to mest udbredte browsere Microsoft Internet Explorer og Mozilla Firefox har optrappet sikkerheden.
IBM X-Force hæfter sig dog samtidig ved, at producenterne er blevet hurtigere til at reagere på afsløringer af sikkerhedshuller. I 2009 er der således sket et fald i antallet af såkaldte zero day-sårbarheder, hvor et sikkerhedshul bliver misbrugt til angreb, før producenten af softwaren har frigivet en sikkerhedsopdatering.
Kommentarer (6)
Problemet er først og fremmest med de pdf-readere, der understøtter scripting i pdf, hvilket betyder Adobe Reader, se også http://en.wikipedia.org/wiki/Adobe_Acrobat
(læs afsnit om security)
For at forhindre scripting i at køre kan man med fordel anvende en reader, der ikke understøtter scripting. Jeg selv anvender Foxit, men dette er ikke ment som en særskilt anbefaling, der er mange andre lignende readere.
-
0 -
0
Ja, Sigurd, det ville være rart om journalisterne ville gøre sig den ulejlighed at spørge ind til og skelne mellem en PDF-svaghed og en Adobe Acrobat Reader svaghed - eller hvor det nu er problemerne optræder.
-
0
-
0
Det var også min tanke at scripting er problemet, jeg mener faktisk at det er javascript som PDF understøtter, hvilket jeg aldrig har lagt mærke til er blevet brugt til noget nyttigt.
Så jo, ligesom at attacks på ren-text-læser-programmer er sjældent så kan man forvente at PDF læsere uden scripting er forholdsvis sikre.
Godt at Version2 fornyligt havde et indlæg om alternative PDF læsere!
-
0
-
0
Hej Lars, det bruges fortrinsvis til validering af input sammen med pdf-formularer. Pdf-formularer er aldrig rigtig slået igennem i DK, men jeg vil tro, at Adobe gerne vil have en bid af eGov-kagen.
-
0
-
0
Er det i det hele taget ikke scripting/Flash, der er skyld i næsten alt ballade? Et program der ikke afvikler scripts eller kode, burde vel strengt taget ikke kunne misbruges ved at smugle noget ind på pc'en via dokumentet. Jeg har valgt at slå næsten alt fra, der har noget med scripts at gøre, og som ikke er absolut nødvendigt. Udover sikkerheden, har jeg også tit problemer med, at scripts ender i en "deadlock" hvor cpu'en ender i 100%. Problemet er måske, at der er alt for mange elendigt programmerede scripts på nettet.
-
0
-
0
Scripting er en synder, men fx buffer-overflow er uafhængigt af det.
-
0
-
0
