Diskussion um Adobe-Updates aus Der "Kurze Fragen - kurze Antworten" - Thread

[moronoxyd]

Diskussion um Adobe-Updates aus Der "Kurze Fragen - kurze Antworten" - Thread

In Summe ist hier meine Erfahrung, dass der kompatibelste Reader nach wie vor das Original von Adobe - natürlich jeweils in der aktuellsten Version - ist. Und ehrlich gesagt hab den Adobe-Reader auch nie als wirklich träge empfunden, selbst auf meinem alten R500 mit Win 10 bin ich mit der Performance absolut zufrieden. Ein weiteres Argument für das Original ist für mich, dass das wohl der am besten überwachte Reader ist, was Schwachstellen betrifft und wo man am ehesten erwarten kann, dass diese auch korrigiert werden.

Ich habe manchmal das Gefühl, daß Adobe mit dem Schließen von Lücken, die in ihren Produkten entdeckt werden, nicht hinterherkommt.
Eben weil der Adobe Reader das Original und weit verbreitet ist, ist es auch der PDF-Reader, der am meisten für Angriffe missbraucht wird. Und Unterstützung von Scripten und Formularen macht das einfacher.
Daher nutze ich einen "simplen" PDF-Reader wie Sumatra für das alltägliche Lesen von PDFs, und habe den Adobe Reader in der Hinterhand, wenn ich mal in einem PDF Formulare ausfüllen will. PDF-Dateien sind aber nicht mit dem Adobe Reader verknüpft.

 

[mectst]

Ich will euch beiden ja gar nicht widersprechen. Der Adobe Reader ist sicher der am weitest verbreitetet Reader und folglich auch das Angriffsziel Nr 1. Es verwundert also nicht, dass hier am stärksten nach Sicherheitslücken gesucht und diese natürlich gefunden und ausgenutzt werden. Ich gehe davon aus, dass wegen der großen Verbreitung entsprechende Angriffe allerdings recht schnell entdeckt werden, unter anderem auch weil hier sicher alle großen Anti-Viren-Anbieter ein Auge drauf haben. Weiter gehe ich davon aus, dass Adobe hier ähnlich professionell arbeitet, wie Microsoft bei Windows oder ein Google bei seinem Browser. Worauf sich moronoxyds Gefühl bezieht, dass hier "schlampig gearbeitet wird", kann ich nicht ergründen bzw. nachvollziehen. Spätestens seit der DC-Version wird auf Sicherheitslücken (und sonstige Programm-Bugs) kontinuierlich reagiert und nicht erst an einem kommenden Patch-Tag.
Abschließend kann man natürlich diskutieren, wo man am sichersten unterwegs ist. Ob beim großen Platzhirschen, den primär alle angreifen, der aber auch die Macht hat, um dagegen zu halten, oder bei den Kleinen, wo die mit Sicherheit auch vorhandenen Lücken vielleicht weniger oft ausgenutzt werden, aber wo sie im Gegenzug auch weniger schnell entdeckt werden. Und ob die Produktsicherheit bei den vielen kleinen Progrämmchen die gleiche Relevanz einnimmt wie bei Adobe, weiß ich nicht.

Grüße Thomas

 

[moronoxyd]

Worauf sich moronoxyds Gefühl bezieht, dass hier "schlampig gearbeitet wird", kann ich nicht ergründen bzw. nachvollziehen.

Das könnte daran liegen, daß du mir hier Worte in den Mund legst, die ich nicht benutzt habe. Ich habe nichts von schlampig geschrieben, sondern von nicht hinterherkommen. Und ich habe nicht nur vom Acrobat Reader geschrieben, sondern von "den Produkten". Also allem, was Adobe so anbietet.
Sowohl beim Acrobat Reader als auch bei Flash werden alle Nase lang Sicherheitslücken gefunden. So oft, daß es mir schwer fällt, zu glauben, daß es nicht zu jedem Zeitpunkt bekannte, nicht geschlossene Sicherheitslücken für diese Produkte gibt.

 

[mectst]

Das könnte daran liegen, daß du mir hier Worte in den Mund legst, die ich nicht benutzt habe.
...

Sowohl beim Acrobat Reader als auch bei Flash werden alle Nase lang Sicherheitslücken gefunden. So oft, daß es mir schwer fällt, zu glauben, daß es nicht zu jedem Zeitpunkt bekannte, nicht geschlossene Sicherheitslücken für diese Produkte gibt.​

Darum ja auch die " " in meiner Formulierung. Dir etwas in den Mund legen, war absolut nicht meine Absicht.
Deine Formulierung

"Ich habe manchmal das Gefühl, daß Adobe mit dem Schließen von Lücken, die in ihren Produkten entdeckt werden, nicht hinterherkommt." ​

ist aber auch nicht weit weg vom "schlampig arbeiten". Wir können uns aber auch gern auf "unprofessionell" einigen.

Aber zum Thema: Natürlich wird es nicht geschlossene Sicherheitslücken geben. Das ist bei Windows oder Crome nicht anders. Wichtig ist, dass sie rechtzeitig geschlossen werden, bevor ein massenweiser Missbrauch eintritt. Und hier bleibe ich bei meinem Gefühl, dass man diesbezüglich bei Adobe besser aufgehoben ist, als bei diversen "kleinen Software-Klitschen"


Grüße Thomas​

 

[moronoxyd]

Darum ja auch die " " in meiner Formulierung.

Anführungszeichen werden auch benutzt, um kurze Zitate zu kennzeichnen. Und da du die Formulierung in einem Kontext benutzt hast, in dem du direkten Bezug auf eine Aussage von mir nimmst, kann der Eindruck entstehen, daß du mich zitierst.

ist aber auch nicht weit weg vom "schlampig arbeiten". Wir können uns aber auch gern auf "unprofessionell" einigen.

*seufz* Ich dachte, es wäre klar, aber gut: Ich meine weder "schlampig" noch "unprofessionell", sondern "überfordert".

 

[mectst]

Tja, und ich glaube nicht an "überfordert"; sollte ja eigentlich auch klar geworden sein. Oder liegen Dir konkretere Hinweise vor, dass Adobe nicht in der Lage ist (das mein ja wohl dein "überfordert"), alle Sicherheitslücken zu stopfen?

Grüße Thomas

 

[moronoxyd]

Oder liegen Dir konkretere Hinweise vor, dass Adobe nicht in der Lage ist (das mein ja wohl dein "überfordert"), alle Sicherheitslücken zu stopfen?

Hätte ich konkrete Hinweise, würde ich es nicht mein Gefühl nennen (Wobei man natürlich schon einzelne Beispiele dafür finden kann, daß Adobe mit dem Patchen nicht hinterherkommt. Aber solche Einzelfälle sind natürlich kein Beweis für ein grundsätzliches Problem. Daher: Gefühl)

Wichtig ist, dass sie rechtzeitig geschlossen werden, bevor ein massenweiser Missbrauch eintritt. Und hier bleibe ich bei meinem Gefühl, dass man diesbezüglich bei Adobe besser aufgehoben ist, als bei diversen "kleinen Software-Klitschen"

Nehmen wir mal das Beispiel: http://www.zdnet.de/88307395/adobe-...flash-player/?inf_by=5a44d4ba671db8a3308b48d1
Da wurden auf einen Schlag 69 Sicherheitslücken in 3 Produkten geschlossen. Jetzt stellt sich die Frage: Wenn das nur die Sicherheitslücken seit dem letzten Patch dieser Anwendungen sind, warum sind es so viele? War der letzte Sicherheitspatch so lange her? Oder wurden in kurzer Zeit so viele Sicherheitslücken gefunden? Beides sieht nicht gut für Adobe aus. Entweder haben sie sich Zeit gelassen, die Lücken zu schließen, oder ihre Produkte sind so löchrig, daß binnen kurzer Zeit 70 Sicherheitslücken gefunden werden konnten.
Und wenn der letzte Patch nicht lange her war, und es nicht nur die seit dem letzten Patch gefundenen Sicherheitslücken waren, dann sind wir bei "Adobe kommt mit dem Schließen der Sicherheitslücken nicht hinterher".


Und ja, bei anderen Produkten ist das auch so. Mit einer der Gründe, warum ich es für keine gute Idee halte, PDFs im Edge Browser anzuschauen (womit ich den Bogen zum Ursprung der Diskussion schlage).
Nur sind wir uns sicher einig, daß "die anderen haben dieselben Probleme" keine Entschuldigung ist.


Die "kleinen Software-Klitschen" haben natürlich auch ihre Probleme. Aber wenn ihre Produkte weniger Funktionen bieten (z.B. keine Unterstützung von Formularen und aktiven Inhalten), dann bieten sie auch weniger Angriffsfläche.

- - - Beitrag zusammengeführt - - -

Diskussion aus Der "Kurze Fragen - kurze Antworten" - Thread ausgelagert, da etwas off-topic und ausufernder.