Adobe stopft Flash-Lücke, PDF-Loch weiterhin offen [2. Update]
Um sich vor manipulierten Web-Seiten zu schützen, sollte man das heute veröffentlichte Flash-Update sofort installieren. Auch die Flash-Einstellungen sollte man über Adobes-Website anpassen.
Adobe warnt vor einer kritischen Lücke im Flash Player. Über sie könnte beispielsweise eine manipulierte Web-Seite den Rechner mit Schadsoftware infizieren. Betroffen sind die bislang aktuellen Versionen Adobe Flash Player 10.0.12.36 und frühere. Auch die Linux-Version (aktuell 10.0.15.3) ist anfällig.
Der Hersteller stellt Updates bereit, deren Installation beim routinemäßigen Update-Check des Flash-Players auch vorgeschlagen wird. Dummerweise findet der standardmäßig nur alle 30 Tage statt – und so lange werden sich die kriminellen Banden kaum Zeit lassen. Deshalb sollte man das Update auf Adobe Flash Player Version 10.0.22.87 möglichst bald manuell durchführen. Anschließend kann man im Settings Manager das Check-Intervall auf das aktuelle Minimum von 7 Tagen einstellen. Denjenigen, die noch nicht auf Version 10 können, bietet Adobe auch ein Update zur Vorgängerversion 9 an.
Für das letzte Woche bekannt gewordene Sicherheitsproblem in Adobe Reader und Acrobat gibt es keine Neuigkeiten. Auf den Adobe-Seiten steht weiterhin als Termin für einen Patch der 11. März. Dabei wird die Sicherheitslücke bereits aktiv ausgenutzt; amerikanische Medien zitieren den Hersteller von Intrusion Detection Systemen Sourcefire damit, er habe passenden PDF-Exploit-Code gefunden, der auf den 9. Januar datiert ist.
Überhaupt glänzt Adobe nicht gerade durch schnelle Reaktionen auf Sicherheitsprobleme. iDefense hat nach eigenen Angaben die Flash-Lücke bereits August 2008 an Adobe gemeldet. Außerdem fallen Adobe-Produkte in letzter Zeit gehäuft als potentielles Sicherheitsrisiko auf. Da die bislang bekannten PDF-Exploits auf eingebettetes JavaScript setzen, sollten Anwender bis Adobe einen Patch liefert, vorbeugend in den Adobe-Reader-Einstellungen "Adobe JavaScript" ausschalten.
Update:
Der Sicherheitsdienstleister Secunia weist darauf hin, dass sich die Lücke auch ohne JavaScript ausnutzen lässt. Den Secunia-Experten sei es sogar gelungen, einen voll funktionsfähigen Exploit zuschreiben, der ganz ohne JavaScript auskommt. Damit bleibt zum Schutz eigentlich nur noch der Umstieg auf alternative PDF-Reader. [2. Update Die können zwar grundsätzlich auch verwundbar sein, es ist jedoch recht unwahrscheinlich, dass die verbreiteten Exploits dort mehr als einen Absturz verursachen. Wer ganz auf Nummer sicher gehen will, sollte auf die Nutzung von PDF-Dateien aus externen Quellen vorerst verzichten und PDF-Erweiterungen im Browser deaktivieren.]
Siehe dazu auch
- Flash Player update available to address security vulnerabilities
- Adobe Flash Player Invalid Object Reference Vulnerability
Im heise Software-Verzeichnis:
- Adobe Flash Player
- Adobe Reader
- Foxit Reader, kostenlose Alternative
(ju)
