Adobe und Netscape patchen URI-Lücke
Von den bekannten verwundbaren Anwendungen bleibt bis dato nur der Instant Messenger Miranda verwundbar.
- Daniel Bachfeld
Adobe hat wie angekündigt die Versionen 8.1.1 von Adobe Reader und Acrobat veröffentlicht, in denen der Umgang mit URIs beziehungsweise URLs in PDF-Dokumenten überarbeitet wurde. Durch das Öffnen manipulierter Dokumente ist es möglich, auf dem System installierte Anwendungen mit beliebigen Parametern zu starten. Ein Angreifer kann darüber die Kontrolle über einen Rechner erlangen, in dem ein Opfer etwa eine auf einem Webserver abgelegte oder per Mail erhaltene PDF-Datei öffnet. Dazu ist es nicht einmal nötig, dass der Anwender auf einen Link im Dokument klickt. Durch die Nutzung von ActionScript in PDF kann das Dokument bereits beim Laden die URL selbst aufrufen.
Ein Update für Adobe Reader 7.0.9 und Acrobat 7.0.9 soll zu einem späteren Zeitpunkt erscheinen. Anwender, die nicht auf die Versionen 8.1.1 wechseln können, empfiehlt Adobe, die Verarbeitung der mailto-URI in der Windows-Registry zu deaktivieren. Eine Anleitung dazu finden Betroffene in Adobes Fehlerbericht. Allerdings ist das Problem prinzipiell nicht auf mailto-URIs beschränkt, eine URL wie http:%xx../../../../../../../../../windows/system32/calc.exe".cmd kann den Taschenrechner ebenfalls starten.
Auch AOL hat nachgelegt und die Fassung 9.0.0.1 des Netscape-Webbrowsers freigegeben, in der neben zahlreichen anderen Lücken auch die URI-Problematik gelöst wurde. Damit ist der Netscape-Browser sicherheitsmäßig auf dem Stand der aktuellen Firefox-Version 2.0.0.8.
Von den bekannten verwundbaren Anwendungen bleibt bis dato nur der Instant Messenger Miranda verwundbar. Das für den November-Patchday geplante Update für Windows sollte allerdings auch dort und mit anderen Anwendungen das Problem entschärfen.
Siehe dazu auch:
- Update available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat, Fehlermeldung von Adobe
- What’s New in Netscape Navigator 9?, Fehlermeldung von Netscape
- URI-Problem zieht weitere Kreise, Acrobat Reader und Netscape anfällig, Meldung auf heise Security
- Microsoft will URI-Lücke in Windows patchen, Meldung auf heise Security
(dab)
