04.01.2007 10:56
Alert! Lücken im Adobes Reader-Plug-in
Ein Ende November 2006 veröffentlichter kritischer Fehler in einem ActiveX-Control in Adobes Reader 7 hat zumindest Anwendern des Internet Explorer einen wichtigen Grund für ein Upgrade auf Reader Version 8 geliefert. Nun gibt es auch für Firefox-Anwender drei Gründe, auf die aktuelle Version zu wechseln.
Ingesamt vier Schwachstellen haben die Sicherheitsspezialisten Stefano Di Paola, Giorgio Fedon und Elia Florio im Browser-Plug-in des Acrobat Reader 7 ausgemacht, mit denen sich Code ausführen und der Browser zum Absturz bringen lassen soll. Zudem steckt im Plug-in eine Lücke, mit der Angreifer Cross-Site-Scripting-Angriffe (XSS) durchführen können. Dies ist deshalb bemerkenswert, weil bei der klassischen XSS-Attacke eine Schwachstelle in einer Webseite ausgenutzt wird. Im vorliegenden Fall genügt es, an eine beliebige URL JavaScript anzuhängen:
http://vertrauenswürdiger-server/file.pdf#FDF=javascript:alert('Test Alert')
Beim Aufruf des Links wird sowohl das PDF-Dokument gestartet als auch der JavaScript-Code im Kontext des vertrauenswürdigen Servers ausgeführt. Ein Angreifer könnte so beispielsweise auf dem PC gespeicherte Anmelde-Cookies dieser Seite kopieren und für eigene Zugriff missbrauchen. Symantec zufolge könnte das Problem eine größere XSS-Angriffswelle auf Nutzer auslösen, weil der Adobe Reader fast flächendeckend eingesetzt wird. Im Fehlerbericht sind weitere Beispiele für mögliche Angriffe aufgeführt.
Außerdem berichten Stefano Di Paola, Fedon und Florio von einer Sessions-Riding-Schwachstelle, mit der Angreifer durch Anhängen einer URL mit Parametern an einen Link eine Anfrage an eine weitere Seite ohne Nachfrage beim Nutzer auslösen können:
http://site.com/file.pdf#FDF=http://target/index.html?param=...
Denkbar wäre, dass der Anwender beim Klick auf den Link damit auf dem Zielserver eine bestimmte Aktion auslöst und so etwa ungewollt Daten löscht.
Zum Einschleusen von Schadcode schreiben die Autoren in ihrem Fehlerbericht nur wenig: Durch zu lange Argumente lassen sich Teile des Structural Exception Handler auf dem Stack überschreiben und so im Firefox möglicherweise Code ausführen. Die Autoren wollen zwar einen Proof-of-Concept-Exploit entwickelt haben, ihn aber nicht veröffentlichen. Schlußendlich stolpert des Plug-in für den Internet Explorer über zu viele angefügte Hashes (#) in einer URL: Der Reader wartet auf weitere Daten und belegt dabei sehr viel Speicher. In der Folge bleibt der Internet Explorer stehen.
Betroffen ist das Reader-Plug-in, wie es in Versionen des Adobe Reader 7.x enthalten ist. Die Fehler wurden mit Firefox 1.5.0.x, 2.x unter Windows XP SP2 und Ubuntu 6.06 getestet. Siehe dazu auch:
- Adobe Acrobat Reader Plugin – Multiple Vulnerabilities, Fehlerbericht von Stefano Di Paola
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
