Car-tech

Adobe patstert kritieke fouten in Flash, Reader en Acrobat

Vandaag is het de tweede dinsdag van januari, waardoor dit de eerste patch-dinsdag van 2013 is. Adobe neemt ook enkele kritieke kwetsbaarheden in zijn software en deze patch op dinsdag.

Adobe heeft twee beveiligingsbulletins uitgegeven. De eerste, APSB13-01, is voor Adobe Flash. In het bulletin wordt gesteld dat versies van Adobe Flash Player voor Windows, Mac OS X, Linux en Android allemaal worden beïnvloed door een beveiligingslek dat een systeemcrash kan veroorzaken of waardoor een aanvaller op afstand schadelijke code kan uitvoeren.

[Vervolg lezen: Hoe malware van uw Windows-pc te verwijderen]

Adobe heeft een update uitgebracht om kritieke fouten in Flash Player te patchen.

APSB13-02deals met fouten in Adobe Acrobat en Adobe Reader. Volgens het bulletin lopen Adobe Acrobat en Reader 11.0.0 en eerdere versies op Windows en Mac OS X en Adobe Reader 9.x-versies voor Linux gevaar. Net als het Flash-beveiligingsbulletin beweert deze dat de beveiligingslekken tot een systeemcrash kunnen leiden of een aanvaller de controle over het getroffen systeem kunnen geven.

Andrew Storms, directeur van beveiligingsactiviteiten voor nCircle, kan kiezen met Adobe over de patch voor Flash. "Waarom kan Adobe de wereld geen plezier doen en een voorafgaande melding voor Flash-updates geven? Nu ze samenwerken met Microsoft om Flash-updates voor IE 10 op patch dinsdag vrij te geven, hoe moeilijk kan het zijn om de rest van ons te laten weten dat er een patch komt? "

Storms maakt ook bezwaar tegen de schaarste aan informatie in de Adobe-bulletins. Het gebrek aan details over de fout zelf, of eventuele mitigaties of oplossingen die in plaats van de patch kunnen worden gebruikt, bemoeilijken het voor IT-beheerders om intelligente beslissingen te nemen over het prioriteren van de patchimplementatie. Storms zegt: "Adobe-beveiligingsbulletins kunnen worden samengevat als 'patch of worden uitgebuit'."

Wolfgang Kandek, CTO van Qualys, bespreekt de Adobe-updates in een blogpost. Kandek wijst erop dat Microsoft ook een beveiligingsadvies (KB2755801) voor Internet Explorer 10 heeft bijgewerkt, omdat Adobe Flash Player is ingesloten en het een nieuwe Adobe Flash-build bevat.

Kandek, zegt ook dat IT-beheerders zich bewust moeten zijn van advies APSA13- 01, die drie ColdFusion-kwetsbaarheden behandelt. Het advies biedt informatie voor tijdelijke oplossingen, terwijl Adobe aan een patch werkt.