Sicherheits-Updates für Adobe GoLive 9 und Illustrator CS3
Nach Angaben des Herstellers lässt sich über manipulierte BMP-, DIB-, PNG- oder RLE-Datei Schadcode auf ein System schleusen und starten.
- Daniel Bachfeld
Adobe hat Updates für GoLive 9 und Illustrator CS3 herausgegeben, um kritische Sicherheitslücken zu schließen. So genügt es nach Angaben des Herstellers, eine manipulierte BMP-, DIB-, PNG- oder RLE-Datei im Illustrator zu öffnen, um Schadcode untergeschoben zu bekommen. Bei GoLive ist es zusätzlich erforderlich, dass das Opfer eine solche Datei in ein GoLive-Dokument, also eine HTML-Datei einfügt. Ursache des Problems ist ein Heap Overflow bei der Verarbeitung der genannten Formate. Mit einem ähnlichen Problem hatte Adobe bereits im April in Photoshop CS2 und 3 nach der Veröffentlichung eines Zero-Day-Exploits zu kämpfen. Ein Photoshop-Update folgte erst im Juli.
Für den Illustrator stehen die Updates für Windows und Mac nun schon bereit, für GoLive gibt es bislang nur ein vollständiges Update für Windows. Unter Apple fehlt noch ein überarbeitetes Plug-in für PNG, das aber bald erscheinen soll. Bis dahin empfiehlt Adobe Mac-Anwendern, das PNG-Plug-in zu deaktivieren.
Siehe dazu auch:
- Illustrator CS3 update to address potential security vulnerabilities, Fehlerbericht von Adobe
- GoLive 9 update to address potential security vulnerabilities, Fehlerbericht von Adobe
(dab)
