Kritische Lücke im Adobe Reader – und keinen interessiert's

Es gibt Dinge, die mittlerweile so alltäglich sind, dass kaum jemand Notiz davon nimmt. Diese Erfahrung musste auch Sicherheitsexperte Charlie Miller machen, der in seinem Black-Hat-Vortag vor rund einer Woche auf ein klaffendes Sicherheitsloch im Adobe Reader aufmerksam gemacht hat. Nach seinem Vortrag stellte Miller fest: "Adobes Sicherheit ist so schlecht, dass [...] nicht eine einzige Person es getwittert hat. Traurig."

Adobe hat die Lücke zwischenzeitlich bestätigt. Sie betrifft die aktuelle Version des Adobe Readers für Windows, Mac OS X und Unix und lässt sich dazu nutzen, beliebigen Schadcode in ein System einzuschleusen und auszuführen. Ob auch ältere Versionen verwundbar sind, ist nicht bekannt. Der Hersteller arbeite bereits an einem Patch und prüft, ob die von Miller veröffentlichten Informationen (PDF-Datei) über die Schwachstelle ein außerplanmäßiges Update rechtfertigen oder der Fehler erst am nächsten Patchday behoben werde. Bislang gibt es keine Anzeichen, dass die Lücke ausgenutzt wird.

Gegenüber heise Security äußerte Brad Arkin, bei Adobe verantwortlich für Produktsicherheit und Datenschutz, bereits im Mai dieses Jahres die Überlegung, den dreimonatigen Updatezyklus von Adobe Reader und Acrobat auf 30 Tage zu verkürzen. Auch an der Verteilung der Patches über andere Kanäle, etwa Microsoft Update, sei man interessiert.

Eine andere PDF-Lücke sorgt seit Kurzem dafür, dass man iPhone, iPod touch und iPad durch eine präparierte PDF-Datei vom App-Store-Zwang befreien (jailbreaken) kann, indem man die Seite JailbreakMe.com direkt auf dem Gerät öffnet. Laut F-Secure ist der Adobe Reader hiervon jedoch nicht betroffen. Den Foxit-Reader könne man durch diese Lücke hingegen zumindest zum Absturz bringen. (rei)