Der neue Softwarefehler betrifft ein Sicherheitsproblem mit Javascript in Adobe Reader. Adobe selbst warnt vor der Schwachstelle: Sie könne das Programm dazu bringen, den Dienst zu verweigern (Denial of Service). Man habe noch keinen Anwendungsfall gesehen, bei dem Kriminelle einem PC schädlichen Code unterschieben, dies sei aber möglich. Erst vor etwas mehr als einer Woche war eine
schwer wiegende Lücke in Adobe Reader und Acrobat offenbar geworden, die auf ein Sicherheitsproblem in Flash zurückgeht.
Um sich vor dem neuen Sicherheitsproblem zu schützen, empfiehlt Adobe Administratoren, das Javascript-Blacklisting zu nutzen. Threatpost
zufolge hat Adobe dieses System etabliert, um schädliche Programmierschnittstellen (APIs) an der Ausführung zu hindern. Administratoren müssen die Blackliste von Hand bestücken, damit sie wirksamen Schutz bietet. Adobe gibt im Sicherheitshinweis eine detaillierte
Anweisung, wie das geht.
Privatnutzer, die keine eigene Javascript-Blackliste betreiben, sollten einstweilen besondere Vorsicht im Umgang mit PDF-Dateien walten lassen und nur PDFs öffnen, die aus vertrauenswürdiger Quelle stammen.
Mit der neuen Schwachstelle gibt es in Adobe Reader zwei ungepatchte Sicherheitslücken, drei weitere Produkte haben in den vergangenen Wochen Updates erhalten:
Wann Adobe die oben beschriebene Schwachstelle behebt, die aus Problemen im Umgang mit Javaskript resultiert, ist nicht bekannt. Der nächste reguläre Patchday für Adobe-Produkte wäre erst in der ersten Januarwoche 2011.