mboost-dp1

unknown

Kritisk sikkerhedshul i Adobe Acrobat produkter

- Via Secunia - , redigeret af Pernicious

Adobe har offentliggjort at der findes et sikkerhedshul i deres Acrobat Reader. Fejlen er et såkaldt “buffer overflow”, der kan udnyttes til at inficere en computer med virus, hvis brugeren åbner en manipuleret pdf-fil.

Hullet findes i version 5.x, 6.x og 7.x af Acrobat Reader og i programmet Acrobat version 5, 6 og 7, til henholdsvis Windows, Linux og Mac.

Secunia kategoriserer fejlen som meget kritisk og opfordrer til at man henter opdateringerne som er tilgængelige på Adobes hjemmeside.





Gå til bund
Gravatar #1 - z33k
18. aug. 2005 17:15
*opdaterer*
Gravatar #2 - sand
18. aug. 2005 17:21
#1 Ditto...
Gravatar #3 - bitnissen
18. aug. 2005 17:21
Ret skidt, PDF-filer kan jo åbnes direkte fra websider, såfremt man har readeren installeret, så man skal bare snyde folk til at gå ind på en side med en pdf-fil, eksempelvis i en iframe (ikke for at give nogen nogle 'gode' ideer).

Hvad dog også er ret skræmmende er at Adobe ikke har lavet en patch til version 5 af Acrobat (iflg. ComOn), hvilket er synd for de firmaer som har den store, dyre professionelle Acrobat, der derved tvinges til en opdatering de måske ellers har skudt ud i fremtiden. Det gør vi andre jo i øvrigt også, men alligevel...

edit [offtopic]: #1 og #2 - Dvs. at I bare har skrevet for at komme først i debatten? tsk tsk tsk...
Gravatar #4 - z33k
18. aug. 2005 17:24
bitnisse;

Nej? Så barnlig er jeg dog ikke. Det er ikke Jubii-forums eller Tweakup.dk
Gravatar #5 - MNM
18. aug. 2005 17:30
Jeg opdaterede firmaets installations pakke i morges, nu mangler jeg bare 2000 klienter DOH !
Gravatar #6 - Deternal
18. aug. 2005 17:34
SUPER! Jeg har kun lige udrullet 7.0.3 updaten - iøvrigt er 7.0.1 kun 2 uger gammel - sq da updates nok til det lille skod program, virker som om jeg skal til seriøst at finde et alternativ - gad vide om ghostscript er brugervenligt nok.... :/

Edit: Ja så checkede jeg, og må blive GSview eller eXPert PDF reader:
http://www.cs.wisc.edu/~ghost/gsview/index.htm
http://www.visagesoft.com/products/pdfreader/index...

Nok den sidste - sådan set fedt nok at kunne annotere direkte i dokumenter, og når nu jeg har fundet en FOSS pdf printer til windows så skal der jo også nok være nogen der vil bruge det :P
Gravatar #7 - TullejR
18. aug. 2005 17:48
derfor man ikke skal stole på software, havde acrobat dog så bare været OSS så havde version 5-brugerne også fået en update med garanti.

det er absolut uansvarligt af Adobe ikke at tjekke deres kode i hoved og røv, i betragtning af hvor mange steder de har readeren installeret. samme kunne man også sige om microsoft, men folk er jo fuldstændigt ligeglade, de finder sig jo åbenbart i det.
Gravatar #8 - MNM
18. aug. 2005 17:53
#6
Ja adobe er bare ikke helt raske, jeg ved ikke om det er bevist, de søger for at man ikke kan repack'e deres "msi" filer.
Hvis man prøver bliver der smidt filer ind i samtlige mapper på hele computeren :)
Gravatar #9 - LeonM
18. aug. 2005 17:53
#5 Hint: Gør det automatisk fra en server når de logger på ! <- - Bare lige hjælpsom, den stakkels fyr får jo sved på panden og ingen nattesøvn de næste 5 dage hvis han skal nå 2000 klienter manuelt...

Rigtigt skidt at et SÅ benyttet program får en fejl

Hygge derude

:) Leon
Gravatar #10 - MNM
18. aug. 2005 18:00
#9
ja det ville være dejligt hvis det var så nemt.

Men når man har en dejlig blanding af reader version 5, 6, 7. adobe elements 6 og 7. acrobat 5, 6 og 7 så er det ikke bare at smide opdateringen ud.
Der skal scriptes en del eller med sms
Gravatar #11 - Deternal
18. aug. 2005 18:08
#10: Ja, ville fandme være nice hvis man kunne komme over til noget seriøs terminal computing fremfor det her distribuerede skidt :)

I mit tilfælde må det være manuelt + opdatering af images idet det er svært at argumentere for distribueringssystem fra serveren med kun 70 desktops.
Gravatar #12 - rasmuslp
18. aug. 2005 18:35
#11: Ikke fordi jeg kender til omkostningerne ved et distribueringssystem fra en server, men 70 klienter er da alligevel en del at patche manuelt.
Gravatar #13 - nopper2
18. aug. 2005 18:49
synd, jeg bruger adobe reader 5 fordi den gør det som jeg skal bruge nemlig at læse pdf filer, og intet andet. jeg kan huske jeg hentede 6'eren en gang og det tog jo dobbelt så lang tid at loade.

Nu bliver jeg og mange andre med gamle computere tvunget til at køre noget software som er dobbelt så tungt.
Gravatar #14 - LeonM
18. aug. 2005 19:11
#13 Nyere vertioner er bestemt ikke "tungere" så hent du dem bare trygt !

#11 Jepper vi hopper lige 15 år tilbage i tiden !

:) Leon
Gravatar #15 - TullejR
18. aug. 2005 19:17
#14:

ikke tungere? adobe reader 6 tager langt over 10 sekunder at starte på almindelige pc'er, det er tungt som bare pokker, kpdf startes derimod "instantly". version 7 er så noget hurtigere, takket være preload, så tager det bare længere tid at få startet pc'en. jubii.

det ville jo være genialt hvis nogle portede libpopler til windows så de også kunne få gavn af et rigtig godt pdf-lib.
Gravatar #16 - Lobais
18. aug. 2005 19:30
#3 Nu behøver firmaerne jo ikke at betale en masse penge for en nyere adobe. Der er tonsvis af glimrende f/oss produkter de kan gå over til. Det giver selvfølgelig stadig et opdaterings problem, men sådan er det jo med it produkter.
Gravatar #17 - LeonM
18. aug. 2005 19:39
#15 Troede at du havde "ignoreret" mig så hvorfor er det lige at du taler til mig ? Slå lige ordet "ignorer" op i en ordbog ik ?

Igen et point til Newz.dk's fantasitske ratingssystem. Vil se om det ikke kan bruges i min søn's børnehaveklasse..

:) Leon

Ja ja VED det "irellevant" *gg* men hygge derude alligevel !
Gravatar #18 - Bundy
18. aug. 2005 19:44
#7 : Orv ja, totalt uansvarligt at der er sikkerhedshuller i noget software, det er jo fuldstændig uhørt, og der har aldrig været tidligere eksempler på det.
Gravatar #19 - TullejR
18. aug. 2005 19:56
#17:

hvorfor er du altid så useriøs? =/

#18:

fat nu hvad jeg skriver, det er uansvarligt ud fra det perspektiv at adobe reader desværre nærmest har monopol på dets område, hvorfor det er særligt kritisk at de ikke tjekker ordentligt for noget så typisk som buffer overflow. det er samme problem med windows, finder man et enkelt slemt hul kan man inficere 90% af alle verdens pc'er uden at røre en finger.

derfor er det yderst kritisk at firmaer i den slags positioner virkeligt gør sig umage. set på den anden side kan de jo være ligeglade, for de har jo for det meste haft success med at låse brugerne fast til deres platform.

utroligt så mange der gør grin med andre uden at være konstruktive selv egentligt!
Gravatar #20 - MNM
18. aug. 2005 20:04
uhh det ville være lækkert hvis adobe lavede msi pakker til deres installationer og rigtige patches (man kan godt have patches installeret til et adobe produkt som ikke er installeret)

#15
kan man downloade kpdf og til hvilke platforme?
Gravatar #21 - TullejR
18. aug. 2005 20:06
#20:

ja, desværre ikke windows før det + kdelibs er portet til qt4 og så portet videre til windows.
gpdf er mere lige til og virker lige så godt.
Gravatar #22 - LeonM
18. aug. 2005 20:08
#19 Jeg er skam ikke "altid" useriøs jeg er bare træt af at høre på dit antialtmuligtsomikkelige erlinuxogopendittenogdatten vås ! Hvorfor daffer du ikke bare 20 år tilbage (har en tidsmaskine som du kan låne) og flytter til Rusland. Jeg kan se inde i min profil at du har sat mig på "ignorer" !

Kære ven nu skal jeg forklare dig betydningen af ordet "ignorer".

Man tager 2 personer, den ene vil ikke høre på den anden og hans/hendes argumenter men kun sine egne <- - - Nem nok at forstå ikke ?

Man tager igen de samme 2 personer <- - er du med stadigvæk med eller blir det for svært ? den anden bliver træt af at prøve at snakke med den første og opgiver <- - - Skal jeg stave det ?

:) Leon

*gg* endnu en Falimbert ! (samler på dem)
Gravatar #23 - TullejR
18. aug. 2005 20:15
#22:

jeg bruger det til en helt anden ting; når jeg ser et sammenfoldet indlæg åbner jeg det med vished om at der muligvis vil stå noget fuldstændigt latterligt ;)

anyways, det ville hjælpe meget til en sober og god debat hvis alle parter var seriøse, med din reaktion i denne tråd skulle man nærmest tro du lod som om du ignorerer denne slags huller eller bare er ligeglad med hvor elendig den software du bliver prakket på er.

anyways (igen), kom med noget relevant, eller i det mindste bare noget brugbart, i stedet for at være lad og nedladende over for andre der i det mindste forsøger at være konstruktive.
Gravatar #24 - LeonM
18. aug. 2005 20:31
#23 Spørgsmål ? Hvorfor ignorere du noget som du alligevel IKKE ignorerer (du skal alligevel LIGE kigge)

Anyways (dine egne ord) Gidder ikke sidde her og skændes med dig ! Slut herfra "har været en god kamp"

filformatet PDF er et sindsygt godt format for det gør at man eks. kan sende kæmpestore præsentationer, billeder osv. dirrekte over internettet hvor alle kan hente dem fordi de har plugin og de fylder ikke ret meget. Her i firmaet har vi vel betalt omkring 12-14.000 for at kunne levere ALLE vores varekataloger, brochurer osv. dirrekte via nettet og det er BILLIGT !

At et format et "lukket" kan jeg god forstå og jeg kan også forstå at nogle formater skal være "åbne". Men seriøst så går det da ikke at ALT er tilgængeligt for alle ! Det ville svare til at vi her i firmaet lagde samtlige arbejdstegninger og patenter (eks. på en bugseret roeoptager http://www.thyregod.com) som har kostet millioner at udvikle frit til gængeligt for alle (incl vores konkurrenter) sådan fungere verden altså IKKE !

Jeg er enig i at man skal passe rigtigt meget på med softwarepatenter men de SKAL indføres i en form så firmaerne kan leve med det.

Ser du ! Både du og jeg vil gerne have vores løn og den skal komme et eller andet sted fra (nemlig det firma som vi er ansat i) og det firma skal have en mulighed for at beskytte sine interesser så det kan tjene penge til din og min løn.

Der fik du så lige en "seriøs" en... Vurder selv

:) Leon
Gravatar #25 - XorpiZ
18. aug. 2005 20:33
#23

Nu skal du ikke snakke for højt med "relevante" indlæg. I denne tråd lagde du hårdt ud med et åbenlyst flamebait?

OT jeg ved det.
Gravatar #26 - LeonM
18. aug. 2005 20:38
Athlon: Ta lige og stik tommelfingeren i røven og hop på albuen til fyn !

Deltag i debatten eller hold din kæft (incl. sidde og rate folk)

:) Leon

Endnu en Flambait (har snart mange)
Gravatar #27 - athlon
18. aug. 2005 20:38
#24 > Øhh... Hvad har softwarepatenter og lukkede filformater at gøre i denne debat?

PDF er rigtig godt understøttet i meget Fri Software (og i meget andet software, for den sags skyld). OpenOffice.org kan eksportere direkte til PDF. Scribus har rigtig god PDF eksport funktion (mere avanceret end OpenOffice.org). Poppler, et xpdf fork, er et ret godt bibliotek til PDF rendering, og vil bl.a. blive brugt i Evince, Gnomes kommende dokumentfremviser, og KPDF vil også bruge Poppler i fremtiden. Der er masser af andre eksempler.

Jeg tror vist også at Mac OS X har mange gode PDF funktioner, samt egen PDF læser, selvom jeg aldrig selv har prøvet dette.

Så hvor er det lige softwarepatenter og lukkede filformater passer ind?

<edit>
#26 > Jeg skal jo lige læse mig gennem debatten, før jeg kan deltage! Desuden er det min ret at rate, som jeg finder fornuftigt, også selvom jeg ikke deltager i debatten.
"Du er ikke aktivt medlem af et politisk parti, du må derfor ikke stemme i folkeafstemninger!"...
Gravatar #28 - sKIDROw
18. aug. 2005 20:40
Nu giver det jo slet ingen mening, at bruge Adobe readeren under andet end Windows. Og hvis nogen forsøger trykket med at manipulere en PDF, er det jo nok også Windows han vil forsøge at inficere alligevel. Men bufferoverflows er noget skidt ligegyldigt hvor de opstår.

#22 LeonM

Hvad skal han i Rusland?
Og inden du belærer ham hvad ordet ignorer betyder, kunne det være du selv skulle lære betydningen af: "Jeg er sur og fornærmet, og nu ser i mig aldrig mere!..." eller hvordan det nu var du skrev det... ;P

"Man skal ikke transferere frakmenter af geologisk oprindelse når man selv reciderer i domicil af skøbelig struktur"
Gravatar #29 - LeonM
18. aug. 2005 20:44
#28 Ja du har jo lidt ret men ser du han har "ignoreret" mig men jeg har ikke "ignoreret" ham så det giver vel lidt precedens for at jeg har lov til at svare ham hvis han tiltaler mig eller hvorn ?

Er godt klar over at at jeg blev lidt sur og måske gik lidt over stregen.

Hygge derude !

:) Leon
Gravatar #30 - sKIDROw
18. aug. 2005 20:56
#29 Leonm

Syntes jo bare det er ironisk, at du heller ikke selv var konsekvent med din udmelding. Men når nu det er tilfældet, så syntes jeg du skal blive. Vi kan aldrig få nok personer, til at skrive halvprovokenrende indlæg... ;)

Selv ignorer jeg stortset aldrig folk, det er en bedrift udover det sædvanlige hvis nogen får mig til det... :-D

Nu jeg alligevel er offtopic, skal i ikke have noget på den hjemmeside?. Eller har bønderne ikke fået internet endnu?.. hihi
Gravatar #31 - LeonM
18. aug. 2005 21:07
#27 Nej du gidder måske ikke lige sidde og læse dig igennem en debat inden du tager en beslutning. Men ser du ven tingene har måske (siger måske) en sammenhæng og der har været en "samtale" du er et et rigtigt godt eksempel på at en ellers seriøs nyhedsside har et rigtigt .... tænker mig lige godt om ..... var lige ved at sige uprofessinoelt men gjorde det ikke....... system hvor folk "rater" indlæg og man får det smidt lige i hovedet når man læser der. Seriøst så skal jeg nok SELV vurdere om et eller andet indlæg er "interssane" "urellevant" osv. Det er altså øjnene som ser der vurdere og IKKE hvad andre mener. Newz.dk et RIGTIGT godt med -10 for sådan et skodsystem (det kan ALDRIG laves retfærdigt)

Så er det sengetid ! (den med fingeren i røven/fyn var faktisk ment som en joke <- - sort humor, gør du bare med din røv hvad du har lyst til)

:) Leon
Gravatar #32 - LeonM
18. aug. 2005 21:10
#30 og i lige måde !

:) Leon
Rumforsker (Sidst udforskede jeg damernes baderum i svømmehallen)

UUPS: glemte lige ! Skidrow... Shhhh ! med den hjemmeside den er min store kæphæst men når det kommer til økonomi så er det ... naaa ER det nu osse SÅ vigtigt, nu har vi brugt 30.000 på at sætte klistermærker på vores montørvogne der viser www.thyregod.com ? Kan det ikke vente til næste år ?
Gravatar #33 - NFX
18. aug. 2005 21:38
Til hvem det nu var der brokkede sig over at Adobe Acrobat Reader efter version 6.0 tager alt for lang tid om at starte, inden dette blev til en stor flamewar:

http://www.tnk-bootblock.co.uk/getfile.php?id=arsu

Et simpelt lille program, der forhindrer Acrobat Reader i at loade alle mulige (overflødige) plugins. Det loader næsten hurtigere end notepad :)

Hvis der er et eller andet man har brug for (speech f.eks.) kan man bare slå det ene plug-in til. Genialt program.
Gravatar #34 - milandt
18. aug. 2005 21:55
Trist at auto-updateren i Adobe Reader 7 til windows ikke finder nogen opdatering.. men fandt den da på deres hjemmeside
Gravatar #35 - Bundy
18. aug. 2005 22:33
#19 Det lader da netop til at det er adobe selv der har opdaget fejlen, lavet en patch, og offentlig gjort det. Hvordan kan det være uansvarligt?

Det er ret kliche, men det findes ikke software der er fejlfrit?

#34 : det fandt den fint her.. også 2 tidligere som jeg havde bedt den skride af helvede til med :)
Gravatar #36 - ScumBag
19. aug. 2005 05:55
#34

Det virker da fint her, 7.03 er på listen. At den så også viser tidligere opdates, som jo i sagens natur er irrelevante, er så en smule tåbeligt.
Gravatar #37 - diggy
19. aug. 2005 06:13
I følge Comon virker opdateringen til Windows kun efter version 5 og til Linux fra version 7 og op efter.
(Kilde: http://comon.dk/index.php/news/show/id=23243 )

Jeg gad godt nok ikke bruge andet end version 7, så jeg vil opfordre alle til at opdatere.
Gravatar #38 - fastwrite
19. aug. 2005 08:21
Jeg har indtryk af at der er mange der til dagligt sidder og administrerer servere og en masse klienter.

Jeg er systemkonsulent og administrerer en hel del forskellige servere rundt omkring i landet.

Er det bare mig, eller er I også ved at være lidt trætte af alle de opdateringer der hele tiden skal foretages? Så har de fundet et sikkerhedshul her, så der, og nu alle vegne.

Man skulle næsten tro at det er for at holde vores branche igang ;o)

Nå - jeg må igang med at opdatere - eller NEDdatere - det viser sig sikkert at have været en rigtig dårlig ide.. hæ...
Gravatar #39 - oleo
19. aug. 2005 11:02
Hej. Jeg hedder LeonM.
Mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig,mig, men nu skal jeg ud og grave kartofler op.
Gravatar #40 - klt
19. aug. 2005 11:21
Ang. Acrobat 5:
Det er vel ved visningen af PDF'er man har modtaget, hvor der er fare for at en ondsindet person har udnyttet fejlen til at få skadelig kode ind på computeren.

Og mig bekendt kører det da fint med Acrobat 5 som generator, men med en nyere Acrobat Reader installeret til visning.
Gravatar #41 - Saxov
19. aug. 2005 14:17
#40, problemet er så når du bruger pdf-filer med fx forms, der er du nød til at bruge acrobat til at ændre og gemme i, hvis du vil lave backup af det du skriver i disse forms - fx ved generering af kvitteringer, eller lign.

Så man kan ikke nødvendigvis bare nøjes med at bruge acrobat Reader.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login