Sicherheit
Microsoft bringt Lösung für Reader-Lücke
von
Dorothee
Chlumsky - 13.09.2010
Das Sicherheitsteam von Microsoft hat einen Hinweis veröffentlicht, indem es beschreibt, wie man sich vor der aktuellen schweren Sicherheitslücke in Adobe Reader schützt. Nutzer müssen nur ein Microsoft-Tool installieren. Derweil arbeitet Adobe weiter an der Lösung.
In einem Blog-Eintrag berichtet Microsoft, dass man einen Weg gefunden hat, Schadsoftware daran zu hindern, eine Sicherheitslücke in Adobe Reader auszunutzen. Der Softwarefehler in Reader wird als extrem kritisch eingestuft. Angreifer nutzen ihn bereits aus, um schädlichen Code auf einen infizierten PC einzuschleusen. Adobe hat noch keine Lösung für das Problem.
Dafür springt Microsoft mit einem Tool in die Bresche. Das Sicherheitsteam des Unternehmens weist in einem Blog-Eintrag darauf hin, dass sein Sicherheitswerkzeug EMET 2.0 (EMET: Enhanced Mitigation Experience Toolkit) in der Lage ist, die Bedrohung für Adobe Reader durch die aktuelle Schwachstelle auszuschalten. Manche Windows-Programme arbeiten mit Bibliotheken, die die ASLR-Funktion aktiviert haben. ASLR steht für Adress Space Layout Randomization. Die Software sorgt dafür, dass die Rücksprungadressen bestimmter Programme durch den Speicher "wandern". Dadurch ist es einem Angreifer nicht möglich, die Rücksprungadresse eines Programms vorherzusagen. Angreifer nutzen Software mit festen Rücksprungadressen, um ihren Schadcode an einer bestimmten Stelle zu platzieren. Stürzt ein Programm ab, lädt es Code an der festgelegten Rücksprungadresse neu. Hat der Angreifer an dieser Stelle ein Schadprogramm platziert, führt das Programm dieses aus. Das Verändern der Rücksprungadresse per ASLR verhindert derartige Angriffe, weil ein Cracker die Rücksprungadresse dann nicht mehr vorhersagen kann.
Microsoft stellt das Sicherheitswerkzeug EMET zur Verfügung, das es dem Nutzer unter anderem erlaubt, ASLR bei verschiedenen Komponenten zu aktivieren. Adobe Reader arbeitet mit einer Bibliothek (icucnv36.dll), bei der ASLR nicht aktiviert ist. Mit Hilfe von Microsofts Sicherheitswerkzeug EMET kann man ASLR für die fragliche Reader-Bibliothek aktivieren.
In einem Blog-Eintrag beschreibt das Microsoft-Team, wie man sich vor der Sicherheitslücke schützt. Dazu installiert man die kostenlos erhältlichen EMET-Tools und setzt einen Kommandozeilenbefehl ab, der ASLR für Adobe Reader aktiviert. Adobe nennt den Workaround von Microsoft als Hilfestellung in seinem Sicherheitshinweis, weist jedoch darauf hin, dass man ihn nicht umfassend getestet hat. An einem eigenen Sicherheitspatch arbeitet das Unternehmen noch.
