Google warnt vor Adobe Reader – besonders auf Linux

Adobe hat an seinem August-Patchday zahlreiche kritische Speicherfehler in seinem Reader für Windows und Mac OS X geschlossen, dabei allerdings die Linux-Nutzer außen vor gelassen. Die Entdecker der Schwachstellen befürchten nun, dass man durch einen Vergleich der aktuellen Windows-Version des Readers und der Vorversion genügend Anhaltspunkte zum Bau von Exploits erhält. Linux-Nutzer wären diesen schutzlos ausgeliefert. Darüber hinaus gibt es selbst in den gepatchten Versionen noch insgesamt 16 offene Sicherheitslücken.

Die Google-Mitarbeiter Mateusz Jurczyk und Gynvael Coldwind untersuchten zunächst die PDF-Engine des Chrome-Browsers, wobei sie zahlreiche Lücken fanden. Anschließend testeten sie auch den Adobe Reader und entdeckten rund 60 Absturzursachen, von denen sich 40 potenziell für Angriffe ausnutzen lassen. Nachdem die beiden Adobe über ihre Funde informierten, versprach der Hersteller Linderung – ließ jedoch auch durchblicken, dass nicht alle Lücken am August-Patchday geschlossen werden.

Und so kam es dann auch: Die am Dienstag veröffentlichte Versionen 10.1.4 und 9.5.2 gibt es nur für Windows und Mac OS X. Und selbst diese fehlerbereinigten Versionen sind noch für 16 der gemeldeten Schwachstellen anfällig, die entweder Windows, OS X oder beide Systeme betreffen. Als Beweis veröffentlichten die Google-Mitarbeiter verschleierte Informationen zu den Abstürzen. Die Sicherheitsexperten halten es für möglich, dass die ungepatchten Lücken auch von anderen entdeckt werden können, da sie durch das Modifizieren öffentlich zugänglicher PDF-Dokumente aufgespürt wurden.

Die Drohung der Forscher, sämtliche Details über die Lücken im Sinne der verantwortungsvollen Veröffentlichung ("Responsible Disclosure") ins Netz zu stellen, ließ Adobe offenbar kalt: Die Frist würde 60 Tage nach dem Termin ablaufen, an dem Adobe über die Lücken informiert wurde – das wäre der 27. August. Adobe gab gegenüber den Entdeckern der Lücken jedoch an, bis zu diesem Termin keine Updates mehr zu planen.

Als Konsequenz empfehlen die Google-Mitarbeiter, keine PDF-Dokumente aus externen Quelle mit dem Adobe Reader zu öffnen. Wer einen anderen Browser als Chrome einsetzt, kann sich schützen, indem er die Browser-Erweiterung des Readers deaktiviert. Diese erlaubt das Ausnutzen der Lücken schon beim Aufruf speziell präparierter Webseiten.

Windows-Anwendern, die noch auf die 9er Version des Readers setzen, raten die Sicherheitsexperten zum Upgrade auf den Adobe Reader X, da diese Version eine Sandbox erhält, die das Ausnutzen der Lücken erschwert. Linux-Nutzer können durch das Löschen der beiden Plugins Annots.api und PPKLite.api aus dem Ordner /path/to/Adobe/Reader9/Reader/intellinux/plug_ins immerhin zwei der Lücken abdichten, was allerdings angesichts der schieren Zahl der Lücken wie ein Tropfen auf den heißen Stein erscheint. (rei)