576140

Sicherheits-Updates für Adobe Reader

20.08.2010 | 14:21 Uhr |

Adobe hat die angekündigten Sicherheits-Updates für Adobe Reader und Acrobat bereit gestellt. Sie beseitigen zwei Sicherheitslücken, die Adobe als kritisch einstuft. Außerdem wird der integrierte Flash Player auf den neuesten Stand gebracht.

Vor gut zwei Wochen hatte Adobe, bereits kurz nach Bekanntwerden einer Sicherheitslücke im Adobe Reader, Updates außer der Reihe angekündigt , um das Problem zu beheben. Gestern Abend hat der Hersteller neue Versionen von Adobe Reader und Acrobat bereit gestellt. Adobe Reader 9.3.4 beseitigt zwei als kritisch eingestufte Lücken .

Der Sicherheitsforscher Charlie Miller hatte Ende Juli bei seinem Vortrag auf der Sicherheitskonferenz BlackHat USA 2010 in Las Vegas seine Software "BitBlaze" zum Aufspüren von Schwachstellen demonstriert und dabei eine PDF-Lücke im Adobe Reader aufgezeigt. Diese war zwar zu diesem Zeitpunkt noch nicht öffentlich bekannt, jedoch von Tavis Ormandy, Entdecker der LNK-Lücke in Windows , bereits an Adobe gemeldet worden, wie Miller nach seinem Vortrag erfuhr.

Die Anfälligkeit steckt in der Programmbibliothek cooltype.dll und kann durch manipulierte Fonts ausgenutzt werden. Wird ein solcher Truetype-Font in eine PDF-Datei eingebettet, kann es zu einem Ganzzahlüberlauf in der anfälligen DLL kommen, was dem Angreifer das Einschleusen und Ausführen vom beliebige Code ermöglicht. Diese Font-Schwachstelle hat nichts mit der in Apples Safari-Browser entdeckten Jailbreak-Lücke zu tun, die ebenfalls auf präparierter Fonts basiert.

Außerdem hat Adobe den Schutz von Malware-Angriffen über die Launch-Funktion in PDF-Dateien weiter verbessert. Beim letzten Versuch diesen Angriffsvektor auszuschalten, hatte Adobe gepatzt und ein Schlupfloch gelassen . Schließlich hat Adobe den in Adobe Reader 9 integrierten Flash Player aktualisiert, für den bereits in der letzten Woche Updates erschienen sind.

Für Nutzer von Adobe Reader 8, die nicht auf Adobe Reader 9.3.4 wechseln wollen oder können, steht ein Update auf die ebenfalls aktualisierte Version 8.2.4 (weiterhin ohne Flash Player) bereit. Für Adobe Acrobat gelten wie üblich die gleichen Versionsnummern und Fehlerkorrekturen wie für den PDF-Reader. Adobe Reader 9.3.4 wird ab 31. August auch als Komplettversion erhältlich sein, das Hantieren mit den MSP-Updates kann dann entfallen. Bis dahin gibt es erstmal nur die inkrementellen MSP-Updates.

0 Kommentare zu diesem Artikel
576140