Menü
Alert!
Security

Updates für Adobe Reader und Acrobat schließen 17 kritische Lücken

vorlesen Drucken Kommentare lesen 89 Beiträge

Adobe hat die Updates 9.3.3 und 8.2.3 für Reader und Acrobat veröffentlicht, die 17 Lücken schließen. Alle Lücken lassen sich nach Angaben von Adobe zum Einschleusen und Ausführen von Code missbrauchen. Dazu genügt bereits der Besuch eine präparierten Webseite mit einem verwundbaren Reader-Plug-in.

Zu den Lücken gehört der Fehler in der Bibliothek authplay.dll zum Abspielen eingebetteter Flash-Inhalte. Adobe hat sich zudem nach fast drei Monaten durchgerungen, Angreifern das Ausnutzen der /launch-Funktion zum Starten von Code zu erschweren. Die Funktion ist Bestandteil der PDF-Spezifikation, um eingebettete Skripte oder EXE-Dateien zu starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Bislang stand der Hersteller auf dem Standpunkt, dass es sich eigentlich um eine nützliche Funktion handele, die nur durch den falschen Umgang zum Problem werde.

Künftig ist die Funktion "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" jedoch standardmäßig abgeschaltet. Zudem zeigen die Warndialoge nun nicht mehr vom Angreifer übergebene Parameter an, die den Anwender verwirren können, sondern nur noch, welche Anwendung gestartet wird. Foxit hatte seinen Warndialog diesbezüglich bereits vor mehreren Wochen überarbeitet.

Daneben hat Adobe in seinem Blog angekündigt, ab Mitte Juli nur noch vollständig gepatchte Versionen im Downloadcenter anzubieten. Bislang waren jeweils nur die Major-Versionen (beispielsweise 9.3) zum Download verfügbar, die nach der Installation weitere Patches (etwa auf 9.3.3) nachluden. Der Hersteller zeigt sich zudem erfreut über die Wirkung seines im Reader und Acrobat 9.3.2 eingeführten automatischen Updates. Anwender würden mit der neuen Funktion Updates dreimal schneller installieren als zuvor. Standardmäßig lädt der Updater eine Aktualisierung herunter und fragt beim Anwender nach, ob er sie installieren soll. Er lässt sich aber auch so konfigurieren, dass er ohne Nutzerinteraktion verfügbare Updates einspielt (Silent Update). (dab)