Menü
Security

Adobe warnt vor URI-Problemen

Von
vorlesen Drucken Kommentare lesen 139 Beiträge

Adobe warnt in einer Sicherheitsnotiz vor einem kritischen Sicherheitsproblem und beschreibt, wie sich Anwender davor schützen können. Betroffen sind Adobe Reader, Adobe Acrobat Standard, Professional und Elements bis einschließlich 8.1 und Adobe Acrobat 3D.

Bei der Lücke handelt es sich offensichtlich um das bereits geschilderte URI-Problem von Windows. Wie viele andere Applikationen auch, reichen Adobes Viewer URLs, für die sie sich nicht zuständig fühlen, via ShellExecute() an das Betriebssystem weiter. Windows XP mit Internet Explorer 7 reagiert auf eine URL der Form

mailto:test%../../../../windows/system32/calc.exe".cmd

indem es den Taschenrechner startet. Ohne IE7 startet der zuständige URL-Handler Outlook Express und unter Vista erscheint eine Fehlermeldung. Dieses verwirrende Verhalten lässt sich nachvollziehen, indem man diese Zeichenkette unter "Start/Ausführen" eingibt; es ist nicht auf mailto-URLs beschränkt.

Mit entsprechend präparierten URLs lassen sich unter Windows XP mit IE7 viele Applikationen als Einfallstor zum Beispiel für Spyware missbrauchen, die ohne Internet Explorer 7 noch sicher waren. Firefox und Skype haben bereits reagiert und dementsprechende Updates veröffentlicht, um ihre Anwender zu schützen. Im Fall der Adobe-Software ist das Problem besonders kritisch, da viele User PDF-Dateien bedenkenlos öffnen und die gefährlichen URLs dabei automatisch gestartet werden können.

Der von Adobe beschriebene Workaround setzt im Registry-Zweig

Acrobat: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Adobe Acrobat\8.0\FeatureLockDown\cDefaultLaunchURLPerms

beziehungsweise

Reader: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\8.0\FeatureLockDown\cDefaultLaunchURLPerms

in tSchemePerms den Wert von mailto:2 auf mailto:3, was das Ausführen von mailto-URLs unterbindet. Die von heise Security erstellte Demonstrationsdatei lieferte damit nur noch eine Fehlermeldung.

Demnächst will Adobe auch ein Update der Software bereitstellen, das vor diesem Problem schützt. Netscape, Miranda, mIRC und vermutlich eine ganze Reihe weiterer Applikationen können jedoch ebenfalls als Einfallstor dienen. Nachdem der Internet Explorer 7 – seit neuestem auch ohne WGA-Prüfung – über die automatische Update-Funktion an Windows-XP-Systeme ausgeliefert wird, dürfte sich die Zahl der betroffenen Anwender noch weiter erhöhen.

Die einzige Möglichkeit, das Problem grundsätzlich aus der Welt zu schaffen, wäre ein Patch von Microsoft, der das Verhalten von Windows XP beispielsweise dem von Vista angleicht. Doch wie eine Nachfrage von heise Security ergab, ist der derzeit nicht in Aussicht.

Siehe dazu auch:

(ju)