Ernstige PDF en Java lekken

De afgelopen dagen zijn er heel wat te doen rondom PDF en Java.

Ten eerste was er een Belgische onderzoeker die een exploit vondt om door het openen van een PDF bestanden een programma’s te laten uitvoeren.
De exploit was kinderspel om te maken, en wordt dus ook nu actief misbruikt.
Adobe reader gaf met de juiste instellingen gelukkig wel een waarschuwing voor het uitvoeren van de gevaarlijke code in het PDF bestand. Maar lang niet altijd.
Echter bij Foxit Reader kwam helemaal geen waarschuwing en zodra je dus een gevaarlijk pdf opende werdt de code in het gevaarlijk pdf bestand uitgevoerd en was je geïnfecteerd.
Er was zelfs een PDF worm virus gemaakt, dat alle andere PDF bestanden op een geïnfecteerd systeem besmette.
Het probleem was dat het lek niet zo eenvoudig te patchen was. Het was een daadwerkelijk een feature van het PDF formaat om dingen te kunnen uitvoeren in PDF. Dat maakt het lek ook vrijwel niet patchbaar tenzij je de feature weghaalt. Programma’s starten vanuit PDF is dat niet wat te veel mogelijkheden? Persoonlijk zie ik PDF als een boek, dus met alleen tekst en afbeeldingen.
Zowel Foxit Reader als adobe hebben nu een patch uitgebracht zodat er zeker een waarschuwing komt. Alleen de lichtgewichte opensource Sumatrapdf reader ondersteund deze onveilige zinloze feature niet en zal het pdf bestand niet kunnen openen.

Dan was er deze week nog een lek met Java dat actief misbruikt werdt op website’s. Het lek werdt net gevonden vlak nadat update19 uit was. En omdat het ernstig was moest een noodpatch namelijk update20 uitgegeven worden.
Het probleem zat hem in de plugin “Java Deployment Toolkit” in de browser dat naast je “Java” plugin voor de browser geïnstalleerd is. Echter het gevaarlijke was dat dit lek je simpelweg je computer kan infecteren doordat je een verkeerde website bezoekt. Tenzij je slim genoeg was plugins te blokkeren bijv. met noscript. Indergeval update20 is weer vanaf java.com te verkrijgen en de nieuwe JDK/SDK vanaf de oracle website.