Sicherheitslöcher in Adobes SVG Viewer
Die Sicherheitsfirma Greymagic hat gleich drei Sicherheitsprobleme in Adobes SVG Viewer (ASV) entdeckt, zwei davon schätzen die Entdecker als kritisch ein.
Die Sicherheitsfirma Greymagic hat drei Sicherheitsprobleme in Adobes SVG Viewer (ASV) entdeckt, zwei davon schätzen die Entdecker als kritisch ein. Betroffen sind nur die Windows-Versionen bis hin zu ASV 3.0.
Der SVG Viewer ist ein Plugin das Vektorgrafiken (Scalable Vector Graphics) darstellt. Die erste Schwachstelle besteht darin, dass ASV die Einstellungen des Internet Explorer für Active Scripting ignoriert. So ist es möglich, dass eine Web-Seite über das Plugin JavaScript-Befehle ausführt, auch wenn Active Scripting abgeschaltet ist. Die zweite beruht auf Fehlern bei der Implementierung der Methoden getURL() und postURL(), über die ein SVG-Dokument asynchron Daten von einem Server nachladen kann. Diese Funktionen lassen sich unter bestimmten Umständen mißbrauchen, um lokale Dateien zu lesen. Die dritte Schwachstelle bezieht sich auf die alert()-Funktion, über die es möglich ist, dass eine Seite mit JavaScript die Rechte der lokalen Zone erlangt und damit unter anderem Dateien lesen oder ausführen kann.
Alle drei Schwachstellen sind in Version 3.01 behoben, das auf Adobes ASV-Seiten zum Download bereitsteht.
Siehe dazu auch: (ju)
- Security Advisories von Greymagic
- Download-Seite des Adobe SVG Viewer
