Mehrere kritische Lücken im Adobe Reader 8 und Acrobat 8 geschlossen
Adobe hat die Version 8.1.3 von Adobe Acrobat und dem kostenlosen Reader veröffentlicht, um acht Sicherheitslücken zu schließen. Durch einige der Lücken können Angreifer mittels präparierter PDF-Dokumente Code in ein System schleusen.
- Daniel Bachfeld
Adobe hat die Version 8.1.3 von Adobe Acrobat und dem kostenlosen Reader veröffentlicht, um acht Sicherheitslücken zu schließen. Durch einige der Lücken können Angreifer mittels präparierter PDF-Dokumente Code in ein System schleusen. Die Lücke ist nicht in den aktuellen Windows- und Mac-Versionen 9.x von Acrobat und dem Reader enthalten. Mac- und Windows-Anwender haben also die Wahl, auf Version 9 umzusteigen oder auf 8.1.3 zu aktualisieren.
Für Anwender von Linux, Solaris und HP-UX steht indes nur die Version 8.1.3 zur Verfügung. Version 9 ist dort auf absehbare Zeit nicht verfügbar. Im Download-Center von Adobe können Anwender zwischen den verschiedenen Versionen wählen. Wer aus bestimmten Gründen weder upgraden noch updaten kann, sollte die JavaScript-Unterstützung im Reader oder Acrobat deaktivieren.
Bei den Schwachstellen handelt es sich im Wesentlichen um Fehler bei der Verarbeitung von JavaScript. Dazu gehört ein Fehler, durch den im PDF eingebettetes JavaScript mit sogenannten Format Strings mit Fließkommazahlen nicht korrekt überprüft wird. In der Funktion util.printf() tritt dadurch ein Pufferüberlauf auf, durch den sich Code auf den Stack der Anwendung schleusen und mit den Rechten des Anwenders ausführen lässt.
Interessanterweise sind gleich mehrere Sicherheitsdienstleister mehr oder minder zeitgleich auf diese Lücke gestoßen. Allerdings führte sie wohl eine sehr ähnliche Lücke im Alternativ-Reader Foxit auf die Spur, die dort vor rund fünf Monaten geschlossen wurde. Des Weiteren tritt ein Überlauf beim Einlesen präparierter Fonts auf. Ein Speicherleck soll sich zudem durch einen nicht näher beschriebenen Fehler provozieren lassen.
Anwender sollten nicht zögern, die aktuellen Versionen zu installeren. Derzeit sind zwar noch keine öffentlichen Exploits bekannt. Wenn aber drei Dienstleister unabhängig auf das Problem gestoßen sind, dürften auch kriminelle Programmierer schon die Lücke kennen.
Siehe dazu auch
- Security Update available for Adobe Reader 8 and Acrobat 8, Fehlerbericht von Adobe
- Adobe Acrobat Professional And Reader AcroJS Heap Corruption Vulnerability, Fehlerbericht von iDefense
- Adobe Reader Embedded Font Handling Out of Bounds Array Indexing Vulnerability, Fehlerbericht von iDefense
- Adobe Acrobat PDF Javascript printf Stack Overflow Vulnerability, Fehlerbericht von ZDI
- Adobe Acrobat Reader Malformed PDF Code Execution Vulnerability, Fehlerbericht von ZDI
- Adobe Acrobat PDF Javascript getCosObj Memory Corruption Vulnerability, Fehlerbericht von ZDI
- Adobe Reader Javascript Printf Buffer Overflow, Fehlerbericht von Core Security
- Adobe Acrobat/Reader "util.printf()" Buffer Overflow, Fehlerbericht von Secunia
- Adobe Reader im heise Software-Verzeichnis
(dab)
