Adobe will kritische Lücke im Reader erst im Januar patchen

Adobe hat die kürzlich gemeldete und bereits aktiv ausgenutzte Lücke im Adobe Reader und Adobe Acrobat bestätigt und will am 12. Januar 2010 im Rahmen des dreimonatigen Patch-Zyklus ein Update herausgeben. Betroffen sind laut Hersteller Adobe Reader 9.2 und frühere Versionen für Windows, Macintosh, Unix sowie Acrobat 9.2 und vorhergehende Versionen für Windows und Macintosh. Ursache des Sicherheitsproblems ist offenbar ein Fehler in der Adobe-JavaScript-Funktion DocMedia.newPlayer.

Die Lücke ermöglicht das Einschleusen und Ausführen von Code auf verwundbaren Systemen. Dazu genügt es, ein präpariertes PDF-Dokument zu öffnen. Bislang verteilen die Virenautoren solche Dokumente nur gezielt per Mail. F-Secure hat in seinem Blog Beispiele solcher Mails veröffentlicht.

Da der Exploit zum Ausnutzen der Lücke mittlerweile als Plug-in für das Exploit-Framework Metasploit zur Verfügung steht, ist mit einer Ausweitung des bislang nur in Einzelfällen beobachteten, gezielten Angriffe zu rechnen. Um bis zum 12. Januar nicht Opfer eines Angriffs zu werden, schlägt Adobe zumindest für Windows-Anwender als Workarounds das Anschalten der Datenausführungsverhinderung (DEP) oder das Abschalten von JavaScript im Reader oder Acrobat (Bearbeiten–>Voreinstellungen–>JavaScript) vor. Als Alternative gibt Adobe zudem als Workaround an, eine vom Hersteller zur Verfügung gestellte Windows-Registry-Datei einzuspielen, die einen Schlüssel erzeugt, der die verwundbare JavaScript-Funktion auf eine Blacklist setzt; diese lässt sich dann nicht mehr aufrufen. Das kommende Sicherheits-Update soll bei der Installation diesen Wert dann wieder zurücksetzen.

Für Anwender von Mac OS X und Linux stellt Adobe eine Anleitung bereit, wie man die verwundbare Funktion in die Blacklist aufnimmt.

Siehe dazu auch:

• Security Advisory for Adobe Reader and Acrobat, Bericht von Adobe
• Angriffe auf ungepatchte Lücke in Adobe Reader und Acrobat

(dab)