Sicherheit

Weitere üble Lücke in Adobe Reader

von - 08.11.2010
Weitere üble Lücke in Adobe Reader
Adobe Reader hat eine zweite schwere Sicherheitslücke, die Angreifer ausnutzen können, um sich Zugriff auf einen betroffenen PC zu erschleichen. Acrobat ist diesmal nicht betroffen.
Der neue Softwarefehler betrifft ein Sicherheitsproblem mit Javascript in Adobe Reader. Adobe selbst warnt vor der Schwachstelle: Sie könne das Programm dazu bringen, den Dienst zu verweigern (Denial of Service). Man habe noch keinen Anwendungsfall gesehen, bei dem Kriminelle einem PC schädlichen Code unterschieben, dies sei aber möglich. Erst vor etwas mehr als einer Woche war eine schwer wiegende Lücke in Adobe Reader und Acrobat offenbar geworden, die auf ein Sicherheitsproblem in Flash zurückgeht.
Um sich vor dem neuen Sicherheitsproblem zu schützen, empfiehlt Adobe Administratoren, das Javascript-Blacklisting zu nutzen. Threatpost zufolge hat Adobe dieses System etabliert, um schädliche Programmierschnittstellen (APIs) an der Ausführung zu hindern. Administratoren müssen die Blackliste von Hand bestücken, damit sie wirksamen Schutz bietet. Adobe gibt im Sicherheitshinweis eine detaillierte Anweisung, wie das geht.
Privatnutzer, die keine eigene Javascript-Blackliste betreiben, sollten einstweilen besondere Vorsicht im Umgang mit PDF-Dateien walten lassen und nur PDFs öffnen, die aus vertrauenswürdiger Quelle stammen.
Mit der neuen Schwachstelle gibt es in Adobe Reader zwei ungepatchte Sicherheitslücken, drei weitere Produkte haben in den vergangenen Wochen Updates erhalten:
  • Adobe Reader: Eine offene Lücke (Javascript), eine Lücke soll in der Woche des 15. November geschlossen werden (Flash). Aktuelle Version: 9.4
  • Adobe Acrobat: Eine Lücke soll in der Woche des 15. November geschlossen werden (Flash). Aktuelle Version: 9.4/ 10.0
  • Flash: Eine Lücke frisch geschlossen. Aktuelle Version: 10.1.102.64
  • Adobe Shockwave: eine Lücke frisch geschlossen, eine weitere offen. Aktuelle Version: 11.5.9.615
  • Adobe Indesign: Frisch geschlossene Lücken in Indesign, Indesign Server und Incopy. Nähere Informationen zu den Updates im Sicherheitshinweis
Wann Adobe die oben beschriebene Schwachstelle behebt, die aus Problemen im Umgang mit Javaskript resultiert, ist nicht bekannt. Der nächste reguläre Patchday für Adobe-Produkte wäre erst in der ersten Januarwoche 2011.
Verwandte Themen