Adobe warnt vor URI-Problemen
Das Windows-URI-Problem könnte dazu führen, dass bereits das Öffnen einer PDF-Datei mit dem Adobe Reader ein System mit Spyware infiziert. Adobe beschreibt nun in einer Sicherheitsnotiz, wie sich Anwender davor schützen können.
Adobe warnt in einer Sicherheitsnotiz vor einem kritischen Sicherheitsproblem und beschreibt, wie sich Anwender davor schützen können. Betroffen sind Adobe Reader, Adobe Acrobat Standard, Professional und Elements bis einschließlich 8.1 und Adobe Acrobat 3D.
Bei der Lücke handelt es sich offensichtlich um das bereits geschilderte URI-Problem von Windows. Wie viele andere Applikationen auch, reichen Adobes Viewer URLs, für die sie sich nicht zuständig fühlen, via ShellExecute() an das Betriebssystem weiter. Windows XP mit Internet Explorer 7 reagiert auf eine URL der Form
mailto:test%../../../../windows/system32/calc.exe".cmd
indem es den Taschenrechner startet. Ohne IE7 startet der zuständige URL-Handler Outlook Express und unter Vista erscheint eine Fehlermeldung. Dieses verwirrende Verhalten lässt sich nachvollziehen, indem man diese Zeichenkette unter "Start/Ausführen" eingibt; es ist nicht auf mailto-URLs beschränkt.
Mit entsprechend präparierten URLs lassen sich unter Windows XP mit IE7 viele Applikationen als Einfallstor zum Beispiel für Spyware missbrauchen, die ohne Internet Explorer 7 noch sicher waren. Firefox und Skype haben bereits reagiert und dementsprechende Updates veröffentlicht, um ihre Anwender zu schützen. Im Fall der Adobe-Software ist das Problem besonders kritisch, da viele User PDF-Dateien bedenkenlos öffnen und die gefährlichen URLs dabei automatisch gestartet werden können.
Der von Adobe beschriebene Workaround setzt im Registry-Zweig
Acrobat: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Adobe Acrobat\8.0\FeatureLockDown\cDefaultLaunchURLPerms
beziehungsweise
Reader: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\8.0\FeatureLockDown\cDefaultLaunchURLPerms
in tSchemePerms den Wert von mailto:2 auf mailto:3, was das Ausführen von mailto-URLs unterbindet. Die von heise Security erstellte Demonstrationsdatei lieferte damit nur noch eine Fehlermeldung.
Demnächst will Adobe auch ein Update der Software bereitstellen, das vor diesem Problem schützt. Netscape, Miranda, mIRC und vermutlich eine ganze Reihe weiterer Applikationen können jedoch ebenfalls als Einfallstor dienen. Nachdem der Internet Explorer 7 – seit neuestem auch ohne WGA-Prüfung – über die automatische Update-Funktion an Windows-XP-Systeme ausgeliefert wird, dürfte sich die Zahl der betroffenen Anwender noch weiter erhöhen.
Die einzige Möglichkeit, das Problem grundsätzlich aus der Welt zu schaffen, wäre ein Patch von Microsoft, der das Verhalten von Windows XP beispielsweise dem von Vista angleicht. Doch wie eine Nachfrage von heise Security ergab, ist der derzeit nicht in Aussicht.
Siehe dazu auch:
- Workaround available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat Security Advisory von Adobe
- URI-Problem zieht weitere Kreise, Acrobat Reader und Netscape anfällig auf heise Security
(ju)
