Zero-Day-Lücke in Adobe Reader und Acrobat

Adobe warnt vor einer kritischen Lücke in Adobe Reader und Acrobat für alle Betriebssysteme, die sich ausnutzen lässt, um einen Rechner mit Schädlingen zu infizieren. Einen Patch oder ein Update zum Schließen der Lücke in den 9er-Versionen plant der Hersteller nach eigenen Angaben allerdings erst für den 11. März zu veröffentlichen, obwohl Angreifer den Fehler bereits aktiv ausnutzen. Updates für die Version 7 und Version 8 sollen dann etwas später folgen.

Für einen erfolgreichen Angriff muss das Opfer aber eine präparierte PDF-Datei öffnen. Nach Angaben der Shadowserver Foundation, einem Zusammenschluss mehrerer Sicherheitsspezialisten, die Botnetze, Malware und Phishing-Aktivitäten beobachten, soll aber das Abschalten von JavaScript in Adobe Reader oder Acrobat verhindern, dass sich die Lücke ausnutzen lässt. Dazu muss man unter Bearbeiten/Grundeinstellungen/JavaScript das Häkchen von der Option "Acrobat JavaScript aktivieren" entfernen.

Einige Hersteller von Antivirensoftware erkennen den Zero-Day-Adobe-Exploit schon als Trojan.Pidief und blockieren ihn. Symantec hat offenbar bereits seit dem 12. Februar eine Signatur zum Schutz vor dem Exploit, stuft die Bedrohung aber als niedrig ein. Der Exploit soll aktuell auch nur in gezielten Attacken zum Einsatz kommen. Das ändert sich aber Erfahrungsgemäß recht schnell, sodass vermutlich bald präparierte PDF-Dokumente auf Webseiten auftauchen dürften.

Worauf die Lücke genau beruht, ist nicht bekannt. Nach Angaben der Spezialisten von Shadowserver nutzt der Exploit Heap Spraying, um zunächst den Schadcode im Speicher zu verteilen und später anspringen zu können. Da er dafür JavaScript verwendet, hilft als Workaround das Abschalten von JavaScript.

Siehe dazu auch:

• When PDFs Attack - Acrobat Reader 0-Day On the Loose, Bericht von Shadowserver
• Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat, Warnung von Adobe

(dab)