Adobe: Loch zu, Loch auf
Eine weitere Lücke im Adobe Reader lässt sich wahrscheinlich ausnutzen, um ein System zu kompromittieren. Für den Flash Player hat Adobe das Update vorgezogen und schon am heutigen Freitag veröffentlicht.
- Daniel Bachfeld
Langsam wird es unübersichtlich bei Adobe, welches Produkt in welcher Version nun wieviel Lücken hat. Adobe hat eine weitere, ungepatchte Lücke für den Adobe Reader bestätigt, die sich sehr wahrscheinlich zum Infizieren eines PC ausnutzen lässt. Offenbar ist eine fehlerhafte JavaScript-Funktion (Doc.printSeps) für die als kritisch eingestufte Lücke verantwortlich. Ein Exploit kursiert bereits, er bringt die Anwendung jedoch nur zum Absturz.
Für den Flash Player hat Adobe indes die angekündigten Updates nun schon am heutigen Freitag veröffentlicht. Geplant war es ursprünglich erst für den 9. November. Das Update schließt 18 Sicherheitslücken, darunter auch die vergangene Woche gemeldete. Für Windows, Linux und Mac OS steht Flash Player 10.1.102.64 zum Download bereit. Für Android soll das Update erst nächste Woche erscheinen.
Von der neuen Lücke ist der Adobe Reader ab den Versionen 9.2 beziehungsweise 8.1 für Windows, Unix und Mac OS X betroffen. Adobe Acrobat ist diesmal laut Hersteller jedoch nicht verwundbar. Das heißt aber nicht, dass Acrobat sicher ist, dort steht das Update für die Lücke in authplay.dll im Flash Player noch aus, auch der Reader ist davon betroffen. Adobe hat zwar für die Woche nach dem 15. November ein Update für Reader und Acrobat angekündigt, ob dann aber auch das neue Problem behoben sein wird oder man den Termin verschiebt, ist unklar.
Immerhin hat Adobe in seiner Warnung eine Anleitung veröffentlicht, wie man unter den jeweiligen Betriebssystemen über die JavaScript-Blacklist verhindern kann, dass sich die verwundbare JavaScript-Funktion aufrufen lässt. Leider lässt die Anleitung offen, ob und welche Konsequenzen dies auf den weiteren Einsatz der Anwendung haben könnte.
Unterdessen hat der Sicherheitsdienstleister Secunia für den gerade erst aktualisierten Shockwave Player ein neues Problem gemeldet: Beim Öffnen der Einstellungen des Players tritt unter Umständen ein Zugriff auf eine entladene Bibliothek auf, was sich zum Einschleusen und Starten von Code durch eine manipulierte Webseite ausnutzen lässt. (dab)
