Adobe und Oracle stopfen zahlreiche Löcher in ihren Produkten
Adobe schließt 15 Lücken im Reader und Acrobat, Oracle beseitigt 47 Schwachstellen.
- Daniel Bachfeld
Adobe hat die Sicherheits-Updates 9.3.2 und 8.2.2 für Adobe Reader (Windows, Mac und Unix) und Acrobat (Windows und Mac) veröffentlicht, mit denen der Hersteller 15 Sicherheitslücken beseitigt. Zwölf davon ermöglichen auf jeden Fall das Einschleusen und Ausführen von Code, bei dreien ist sich Adobe nicht sicher und stuft sie deshalb zunächst nur als Denial-of-Service-Schwachstelle ein.
Um Opfer eines erfolgreichen Angriffs zu werden, muss man nicht zwangsläufig ein PDF-Dokument manuell öffnen, es genügt in der Regel mit einem verwundbaren Reader-Plug-in im Browser eine manipulierte Webseite zu besuchen. Für die kürzlich bekannt gewordene "/launch"-Schwachstelle gibt es keine Lösung. Der Hersteller empfiehlt unter Bearbeiten/Voreinstellungen/Berechtigungen die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" zu deaktivieren.
Angesichts der Fülle der gestopften Löcher sollten Anwender die neuen Versionen so schnell wie möglich installieren. Der direkte Download aller Reader-Versionen ist hier möglich. Zwar soll nach Angaben von Adobe der neue Updater diese Aufgabe nun ohne Eingriffe übernehmen können, allerdings empfiehlt der Hersteller im aktuellen Fehlerbericht trotzdem, die Suche nach Updates manuell anzustoßen. Ob der neue Updater zeitverzögert arbeitet oder bei jedem Start auf Updates prüft, müssen Tests zeigen. Jedenfalls tat sich bei einem kurzen Test eines Adobe Reader mit aktiviertem Updater längere Zeit gar nichts.
Darüber hinaus hat Oracle im Rahmen seines ebenfalls vierteljährlichem Critical Patch Update (CPU) einen Rundumschlag verteilt. Der Hersteller schließt insgesamt 47 Lücken in vielen seiner Produkte, darunter die Datenbank, die Business Suiten, in Sun Solaris und Java System Directory Servere – Sun gehört seit kurzem zu Oracle. Einige der Lücken, etwa die im Sun Ray Server, stuft Oracle als kritisch ein, daher sollten Administratoren nicht zögern, die Updates schnellstens zu installieren.
Siehe dazu auch:
- Security update available for Adobe Reader and Acrobat
- Oracle Critical Patch Update Advisory - April 2010
- Adobe führt automatisches Update für Reader ein
- Offizieller Workaround von Adobe für PDF-Lücke
(dab)
