231013

Adobe Reader-Update erst im Januar

16.12.2009 | 15:16 Uhr |

Angriffs-Code für die noch nicht beseitigte 0-Day-Lücke in Adobe Reader ist inzwischen in gängigen Exploit-Toolkits enthalten. Damit ist eine Zunahme von Web-Angriffen über diese Schwachstelle zu erwarten.

Adobe hat am Montag Abend Berichte über eine neu entdeckte Sicherheitslücke in Adobe Reader und Acrobat bestätigt. Inzwischen hat Adobe auch eine Sicherheitsmitteilung dazu veröffentlicht. Deren letzte Aktualisierung liefert nun auch den geplanten Termin für ein Sicherheits-Update. Demnach ist mit dem Update nicht vor dem 12. Januar zu rechnen.

Die Adobe Sicherheitsmitteilung APSA09-07 nennt auch Möglichkeiten sich vor der Ausnutzung der Sicherheitslücke zu schützen. Die Schwachstelle kann mit Hilfe von Javascript in speziell präparierten PDF-Dateien ausgenutzt werden. Das Deaktivieren von Javascript in Adobe Reader und Acrobat soll laut Adobe Schutz bieten. Dazu bietet der Hersteller das "Adobe Reader and Acrobat JavaScript Blacklist Framework" an.

Auf einer separaten "TechNote"-Seite bietet Adobe für Endbenutzer ein ZIP-Archiv mit .reg-Dateien an. Diese können nach dem Entpacken des Archivs per Doppelklick in die Registry importiert werden. Sie sollen einen bestimmten Javascript API-Aufruf blockieren, der für das Ausnutzen der Sicherheitslücke benötigt wird. Mit dem nächsten Programm-Update sollen diese Einträge wieder zurück gesetzt werden. Auch für Unternehmen gibt es eine Lösung.

0 Kommentare zu diesem Artikel
231013