Mangelhafte Sicherheits-Updates von Adobe

Laut Sicherheits-Bulletin APSB12-18v schließt Adobe eine kritische Sicherheitslücke im Flash Player 11.3.300.270 und früheren Versionen für Windows, Macintosh und Linux. Der Fehler CVE-2012-1535 erlaubt Angreifern, beliebigen Programmcode mit administrativen Rechten auszuführen oder den Rechner zum Absturz zu bringen (Denial of Service). Für einen erfolgreichen Angriff muss der Anwender eine manipulierte E-Mail, Webseite oder Flash Datei öffnen. Der Hersteller empfiehlt, das von Adobe bereitgestellte Update auf den Flash Player 11.3.300.271 so bald wie möglich einzuspielen. Dies kann auch über die automatische Updatefunktion des Flash Players geschehen.

Laut Bulletin APSB12-17 schließt das Unternehmen mehrere Schwachstellen in seinem Shockwave Player Versionen 11.6.5.635 oder früher für Windows und Mac OS X. Anonyme Angreifer können die Lücken aus der Ferne ausnutzen, um beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Zur erfolgreichen Ausnutzung dieser Schwachstellen muss der Angreifer den Anwender dazu bringen eine manipulierte E-Mail, Webseite oder Datei zu öffnen. Der Hersteller empfiehlt seinen Nutzern, den Shockwave Players auf Version 11.6.6.636 zu aktualisieren. Adobe hat eine Webseite bereitgestellt, auf der die Nutzer testen können, welche Version von Shockwave auf ihrem Rechner installiert ist.

Weiter schließt Adobe auch in den PDF-Programmen Reader und Acrobat zahlreiche Sicherheitslücken. Laut Bulletin APSB12-16 lassen sich die Lücken durch die Verarbeitung von präparierten PDF-Dateien ausnutzen. Angreifer können darüber beliebigem Code im Kontext des angemeldeten Nutzers ausführen. Eine Gefahr besteht, wenn der Nutzer manipulierte PDF-Dateien öffnet. Betroffen sind der Adobe Reader X 10.1.3 und ältere 10.x Versionen für Windows und Mac OS sowie Adobe Reader 9.5.1 und ältere 9.x Versionen für Windows und Mac OS. Auch hier empfiehlt der Hersteller, die Updates auf Adobe Reader 10.1.4 beziehungsweise 9.5.2 zeitnah zu installieren.

Adobe hat nicht alle Sicherheitslücken geschlossenViele der jetzt durch Adobe beseitigten Sicherheitslücken In Adobe Acrobat und Adobe Reader wurden durch die Google Mitarbeiter Mateusz Jurczyk und Gynvael Coldwind entdeckt und gemeldet. Diese fürchten jetzt vor allem um die Sicherheit der Linux Nutzer des Adobe Readers. Denn für diesen gibt es bisher kein Update. Aus einem Vergleich der Adobe Reader Versionen 10.1.3 und 10.1.4 könnten Hacker die Sicherheitslücken schnell ermitteln und für Angriffe nutzen.

Nach Analysen der Sicherheitsexperten enthalten außerdem die Windows- und Mac OS X-Versionen immer noch 16 Fehler, die bisher nicht von Adobe beseitigt wurden. Obwohl die Sicherheitslücken wahrscheinlich bisher (noch) nicht ausgenutzt werden, halten Jurczyk und Coldwind den Adobe Reader für ein Sicherheitsrisiko. Nutzer sollten daher besser auf ein anderes Produkt umsteigen, keine PDFs aus unbekannten Quellen öffnen und das Adobe-Reader-Plug-in im Browser deaktivieren. Windows-Nutzern wird empfohlen, Adobe Reader 10.1.4 zu verwenden, weil die Sandbox hier vor den Auswirkungen von Angriffen schützen kann. Die Max OS X- und Linux-Version des Adobe-Readers ist bisher noch nicht mit einer Sandbox ausgestattet.