Adobe schließt kritische Lücke in Reader und Acrobat

Ursache der Lücke ist ein Fehler beim Dekodieren sogenannter JBIG2-Streams. Für einen erfolgreichen Angriff muss das Opfer ein PDF-Dokument unter Windows nicht einmal öffnen, es genügt, wenn es auf der Platte liegt.

In Pocket speichern vorlesen Druckansicht 72 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Adobe hat das Update 9.1 für seinen Reader und Acrobat für Windows und Mac veröffentlicht, das eine kritische Sicherheitslücke schließen soll. Durch manipulierte PDF-Dokumente ist es möglich, Schadcode in einen PC zu schleusen und im Kontext des Anwenders auszuführen. Die Lücke war bereits seit Januar bekannt, ein Exploit seit Mitte Februar auf einschlägigen Seiten verfügbar.

Ursache der Lücke war ein Fehler beim Dekodieren sogenannter JBIG2-Streams, in denen bei PDF-Dokumenten etwa Schwarzweiß-Bilder in komprimierter Form enthalten sind. Die ersten Exploits benötigten jedoch noch JavaScript, weshalb Adobe als Workaround empfahl, JavaScript zu deaktivieren. Aktuelle Exploits funktionieren jedoch auch ohne Zuhilfenahme von JavaScript im Reader und Acrobat.

Unterdessen wurde bekannt, dass unter Windows ein Anwender unter Umständen nicht einmal ein präpariertes Dokument selbst öffnen muss, um einem Angriff zum Opfer zufallen – es genügt, wenn die Datei irgendwo auf der Festplatte liegt. Laut Didier Stevens ist die Verknüpfung einer Adobe-PDF-Komponente (AcroRdIF.dll) mit dem Windows Indexing Service der Grund für das Problem.

Stößt der Indexing-Dienst auf ein PDF-Dokument, aktiviert er im Weiteren den PDF-Parser (AcroRD32.dll), was bei präparierten Dokumenten den Aufruf des Schadcodes zur Folge hat. Allerdings läuft der Code in diesem Fall laut Stevens unter Windows XP sogar mit noch höheren Rechten als denen des Anwenders, nämlich mit lokalen System-Rechten:

Standardmäßig ist der Indexing-Dienst unter XP und Vista aktiviert. Da präparierte PDF-Dokumente auf vielen verschiedenen Wegen auf den Rechner gelangen können, sollten Anwender nicht zögern und die bereitgestellten Updates so schnell wie möglich installieren. Wo dies nicht möglich ist, sollte man zumindest die Verknüpfung mit Adobe lösen. Stevens schlägt vor, einfach den Filter zu deregistrieren: regsvr32 /u AcroRdIf.dll.

Die Updates für Adobe Reader 7 und 8 sowie Acrobat 7 und 8 sind für den 18. März geplant. Die Unix-Version des Adobe Reader 9.1 soll am 25. März erscheinen.

Siehe dazu auch:

(dab)