News
0-Day-Schwachstelle in Adobe Acrobat und Reader
-
- Twittern
- Teilen
-
-
-
Am Freitag wurde eine 0-Day-Schwachstelle in Adobes Acrobat und Reader bekannt, die Adobe am 11. März in Version 9 beheben will, kurz darauf auch in Version 8 und später auch in Version 7. Die Schwachstelle wird (zur Zeit wohl noch im Rahmen gezielter Angriffe) ausgenutzt, um verschiedene Schadsoftware zu installieren. Es wird sicher nicht lange dauern, bis der Exploit auch im Rahmen von Drive-by-Infektionen zum Einsatz kommt.
JavaScript ausschalten schützt vor Angriff
Erste Berichte, z.B. der Shadowserver Foundation, weisen darauf hin, das die aktuellen Exploits nur funktionieren, wenn JavaScript aktiviert ist. Dementsprechend schützt das Ausschalten von JavaScript für Adobe Acrobat und Reader zumindest vor dem aktuell im Umlauf befindenden Schadcode. Inzwischen hat die Shadowserver Foundation weitere Details veröffentlicht, demnach funktioniert der aktuelle Exploit nur unter Windows, nicht aber unter Mac OS X und Linux. Außerdem wird das Ausschalten von JavaScript mit Hilfe von Windows Group Policy Object (GPO) beschrieben.
Im Blog von Sourcefires Vulnerability Research Team VRT wurde eine Analyse des Exploits veröffentlicht, demnach liegt die Ursache in einem Fehler beim Verarbeiten präparierter JBIG2-Image-Streams. Diesem Bericht zufolge sind prinzipiell auch die Versionen für Mac OS X und Linux betroffen.
Die Antiviren-Hersteller sind dran...
Verschiedenen Virenscanner-Hersteller haben sich inzwischen mit dem Exploit beschäftigt, z.B. die McAfee Avert Labs, die Sophos Labs, Trend Micros TrendLabs (unter den netten Titel "Portable Document Format or Portable Malware Format?") und Symantec, deren Aussage "Disabling JavaScript in Adobe Reader may also help mitigate this threat." darauf schließen lässt, das sich die Schwachstelle auch bei ausgeschaltetem JavaScript ausnutzen lässt. Zu guter Letzt noch der Hinweis auf einen zusammenfassenden Eintrag im Handler's Diary des ISC.
Was tun?
Solange so wenig bekannt ist wie zur Zeit helfen nur die altbekannten Ratschläge: JavaScript in den Adobe-Produkten ausschalten (schützt wahrscheinlich nicht mit Sicherheit, kann aber nicht schaden), keine PDF-Dateien aus dubiosen Quellen öffnen (laut Sourcefires VRT reicht schon die Darstellung des Icons der PDF-Datei aus, um den Schadcode auszuführen) - oder auf die Adobe-Produkte verzichten, bis ein Patch zur Verfügung steht. Zumindest für den Adobe Reader gibt es ja einige Alternativen.
Carsten Eilers
Einträge im Bereich 'Security aktuell'
Kommentare
Joerg 26.02.2009 um 09:29 Uhr
Nette Idee, JavaScript im AdobeReader per GPO abzuschalten, wird durch den 08-15 User aber i.d.R. ausgehebelt. Sobald ein PDF mit JavaScript geöffnet wird erschient die Meldung "... Möchten Sie von nun an JavaScripts aktivieren?...". (default-Schaltfläche ist "Ja"). Damit ist der Adobe Reader bis zur nächsten Aktualisierung der Gruppenrichtlinien wieder offen.Gruß
Joerg
(der bis jetzt auch noch keine wirkliche Lösung hat) #zitieren
Peter 01.03.2009 um 17:40 Uhr
Einfach eine, von der Free Software Foundation Europe bei pdfreaders.org vorgestellte Alternative, zu Adobe einsetzen. SumatraPDF oder MuPDF funktionieren auch super - wenn dann wirklich mal was nicht läuft kann man immer noch auf die lahme Ente von Adobe zurückgreifen.
#zitieren
Folgende Links könnten Sie auch interessieren
- Security-Hinweise zu Papern, Schlüsselkopien und mehr
[http://entwickler.de/zonen/portale/psecom,id,99,news,45856,.html] - Security-Hinweise zu verschiedenen Schädlingen, Tools und mehr
[http://entwickler.de/zonen/portale/psecom,id,99,news,45885,.html] - Security-Hinweise zu gefälschten WordPress-Versionen und mehr
[http://entwickler.de/zonen/portale/psecom,id,99,news,45909,.html] - Security-Hinweise zur gebrochenen WLAN-Verschlüsselung und mehr
[http://entwickler.de/zonen/portale/psecom,id,99,news,45932,.html] - Security-Hinweise zu aktuellen Angriffen und mehr
[http://entwickler.de/zonen/portale/psecom,id,99,news,45986,.html]
