0-Day-Exploit
Angriffe auf neue PDF-Lücke
Eine kürzlich entdeckte Sicherheitslücke in Adobe Reader und Acrobat wird aktiv ausgenutzt. Präparierte PDF-Dateien enthalten Exploit-Code, der Malware einschleusen soll. Adobe will heute ein Sicherheits-Update bereit stellen.
In der letzten Woche wurde eine neue Schwachstelle in den aktuellen Versionen von Adobe Reader und Acrobat bekannt. Zwar gab es bereits Berichte, diese Sicherheitslücke würde ausgenutzt, inzwischen sind jedoch konkretere Informationen darüber verfügbar. Mehrere Antivirushersteller haben Details über die präparierten PDF-Dateien veröffentlicht, die für die Angriffe verwendet werden.
So berichtet JJ Reyes im Malware-Blog von Trend Micro, die PDF-Dateien enthielten Javascript-Code, der mit einer als "Heap Spraying" bekannten Methode weiteren enthaltenen Code ausführe. Über einen Zwischenschritte werde ein Trojanisches Pferd ausgeführt, dessen Code ebenfalls in der PDF-Datei stecke. Es handele sich um eine Backdoor aus der "Protux"-Familie ("BKDR_PROTUX.BD"), deren Vertreter schon früher unter Ausnutzung von Schwachstellen in Microsoft Office verbreitet worden seien.
Fraser Howard meldet im Sophos-Blog, das Trojanische Pferd werde als DLL-Datei (Dynamic Link Library) abgelegt. Ferner gibt Howard an, der Exploit funktioniere nach bisherigen Tests mit Adobe Reader 9.1.3 und 9.1.0 nicht zuverlässig. Vielmehr führe die präparierte PDF-Datei meist nur zum Absturz des Adobe Reader.
Adobe hat bereits angekündigt, im Rahmen seines ohnehin für heute geplanten Patch Day auch Sicherheits-Updates bereit stellen zu wollen, die diese Schwachstelle beseitigen sollen. Es sind Updates für Adobe Reader und Acrobat 7.x, 8.x und 9.x angekündigt, jeweils für Windows, Mac und Unix (7.x nur für Windows und Mac). Sie sollen als kritisch eingestufte Sicherheitslücken beheben. Wie auch bei Microsoft, wird es in Europa wohl Abend werden, bis die Updates bereit stehen.
