Angreifer nutzen weitere Zero-Day-Lücke in Adobe Flash und Reader [Update]

Adobe warnt vor einer weiteren ungepatchten Lücke, die sowohl im Flash Player als auch im Reader (sowie Acrobat) zu finden ist und von Angreifern bereits zur Infektion von Windows-Systemen ausgenutzt wird. Erst vergangene Woche warnte Adobe vor einer anderen Lücke im Reader, die Kriminelle ebenfalls zur Verbreitung von Malware auf Windows-Systemen missbrauchen.

Bei der Lücke im Flash Player wird neben Windows, Mac OS X und Linux auch erstmals Android als betroffene Plattform aufgeführt. Konkret sind laut Adobe der Flash Player 10.1.82.76 für Windows, Mac OS X und Linux, Flash Player 10.1.92.10 für Android sowie Adobe Reader und Acrobat 9.3.4 für alle jeweils unterstützen Plattformen betroffen. Laut Hersteller wird bislang nur beim Flash Player versucht, die neue Lücke auszunutzen.

Ein Update für den Flash Player ist für den 27. September geplant, die Aktualisierung für den Reader und Acrobat soll dann am 4. Oktober folgen. Zumindest was die Verarbeitung von PDFs angeht, können Anwender bis dahin auf alternative Viewer ausweichen oder Schutzmaßnahmen ergreifen. Die können beispielsweise darin bestehen, JavaScript im Reader abzuschalten. Zwar steckt die Lücke nicht in JavaScript selbst, die kursierenden Exploits nutzen es aber dennoch.

Daneben lassen sich mit Microsofts Enhanced Mitigation Experience Toolkit (EMET) die Auswirkungen von Exploits begrenzen. Adobe hat dies als mögliche Abwehrmaßnahme am Wochenende empfohlen. EMET aktiviert verschiedene Schutzfunktionen in fertigen Binaries wie die Datenausführungsverhinderung (DEP) und die Speicherverwürfelung (ASLR). Zwar ist der vergangene Woche aufgetauchte Reader-Exploit in der Lage, DEP und ASLR auszutricksen, EMET bringt aber weitere Funktionen mit, wie Export Address Table Access Filtering (EAF) zum Blocken der Zugriffe von eingeschleustem Shellcode auf bestimmte APIs. EMET versucht auch sogenanntes Heap-Spraying zu unterbinden.

Damit kann EMET den Exploit auch auf Windows-XP-Systemen wirkungslos machen, obwohl diese gar kein ASLR unterstützen. In einem kurzen Test konnte heise Security bestätigen, dass der Exploit unter Windows XP mit einem EMET-geschütztem Reader 9.3.4 nicht mehr funktioniert. Ob EMET auch gegen den neuen Exploit und im Zusammenspiel mit dem Flash Player schützt, müssen weitere Tests zeigen. Eine Anleitung, wie man EMET installiert und konfiguriert, findet man im Blogeintrag "Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit " auf den Seiten des "Security Research & Defense"-Teams von Microsoft.

[Update]: Wegen eines Server-Ausfalls ist die EMET-Downloadseite derzeit nicht zu erreichen. Alternativ funktioniert dieser direkte Download-Link (dab)