Neue 0-Day-Lücke in Adobe Reader und Flash

Erst Anfang Oktober hatte Adobe neue Versionen seiner PDF-Produkte Adobe Reader und Acrobat bereit gestellt, um eine kritische Flash-Lücke zu schließen. Jetzt ist erneut eine solche Schwachstelle entdeckt worden. Sie wird bereits mit präparierten PDF-Dateien ausgenutzt, die als Mail-Anhang verschickt werden.

Adobe hat die Sicherheitsmitteilung APSA10-05  veröffentlicht, in der die Sicherheitslücke bestätigt wird. Sie steckt eigentlich im Flash Player – alle bisherigen Versionen bis einschließlich der aktuellen 10.1.85.3 für alle Plattformen (Windows, Mac, Linux/Unix, Android) sind anfällig.

Adobe Reader und Acrobat ab Version 9.0 können in PDF-Dateien eingebettete Flash-Inhalte abspielen. Unter Windows steckt der anfällige Code zum Anzeigen von Flash in der Programmbibliothek authplay.dll im Programmverzeichnis von Reader und Acrobat. Beim Mac heißt die entsprechende Komponente AuthPlayLib.bundle, unter Linux/Unix libauthplay.so.0.0.0.

Adobe empfiehlt diese Dateien zu löschen oder umzubenennen, um sich vor Angriffen zu schützen. Zwar stürzen Adobe Reader und Acrobat dann trotzdem ab, wenn sie PDF-Dateien mit Flash-Objekten anzeigen sollen, es kann jedoch keine Malware eingeschleust werden. Adobe Reader und Acrobat 8.x und früher sind nicht anfällig, auch der Adobe Reader für Android nicht.

Eine der per Mail verbreiteten PDF-Dateien legt beim Öffnen im Adobe Reader 9 eine Datei namens "~.exe" im TEMP-Verzeichnis ab, die von den meisten Antivirusprogrammen bereits erkannt wird. Es handelt sich um ein Trojanisches Pferd, das eine Hintertür ins System öffnet und Passwörter ausspionieren soll.

Adobe plant am 9. November ein Sicherheits-Update für den Flash Player bereit zu stellen, eine Woche später soll es neue Versionen von Adobe Reader und Acrobat 9.x geben.