Adobe bringt neue Unix-Version des Acrobat Reader [Update]

Adobe reagiert auf einen Fehler im Acrobat Reader 5.0.6, mit dem Shell-Kommandos ausgeführt werden könnten: Die korrigierte Version 5.0.7 für Unix-Plattformen steht ab sofort zum Download bereit. Der am gestrigen Dienstag gemeldete Fehler bot Angreifern die Möglichkeit, in PDF-Dokumenten enthaltene Links zum Ausführen von Shell-Kommandos zu missbrauchen. Ein Patch für xpdf 2.02 ist mittlerweile ebenfalls auf den Seiten von Foolabs verfügbar, die ursprünglich als verwundbar gemeldete Version 1.01 wird dort aber nicht weiter erwähnt. Im Zweifelsfall kann auch kghostview unter KDE für PDF-Dokumente verwendet werden. Dirk Müller vom KDE-Team weist darauf hin, dass derartige Bugs in KDE systematisch während eines zweimonatigen Codereview beseitigt wurden.

Interessant ist auch, wie die eigentliche Meldung über die Schwachstelle in Umlauf kam. Ein Hacker mit dem Pseudonym 'hack4life' postete sie auf der Mailingliste Full-Disclosure. Eigentlich sollte die Meldung erst am 23. Juni von CERT/CC herausgegeben werden, um den Hersteller rechtzeitig über die Schwachstelle vorab zu informieren. Ein Informationsleck führte nun aber zur frühzeitigen Veröffentlichung. CERT-Verantwortliche sind sich bislang nicht im klaren darüber, wer hinter dem verfrühten Posting stecken könnte. (dab)