Rätselraten um Update für Adobes Reader

Adobe hat in seinen Release Notes zwar noch lapidar auf Schwachstellen hingewiesen, die mit Version 8.1.2 des Adobe Reader geschlossen wurden, allerdings versäumt, darauf hinzuweisen, wie kritisch diese sind. Allgemein wurde diese Vorgehensweise in der Security Community eher als "Silent Fixing" verstanden, also einer restriktiven Informationspolitik, um die wahren Ausmaße unter Verschluss zu halten. Dies hat einigen Unmut unter Sicherheitsspezialisten verursacht. Mittlerweile hat Adobe ein Security Advisory nachgereicht, das auf einige kritische Lücken hinweist, die Hintergründe jedoch weiter unterschlagen.

Offenbar handelt es sich um relativ kritische Lücken, für die auch schon Exploits verfügbar sind. So hat der Sicherheitsdienstleister Immunity seiner zahlenden Kundschaft in den letzten zwei Tagen zwei Exploits zugänglich gemacht. Einer davon ist nur als "PoC for Adobe Acrobat Reader (<8.1.2) buffer overflow" beschrieben, der andere als "Fully working exploit for Adobe Acrobat Reader (<8.1.2) Javascript Stack Overflow". Wenigstens einer der beiden soll sich eignen, ein System zu kompromittieren. Bislang unbestätigten Meldungen zufolge sollen präparierte Webseiten eine der Lücken bereits aktiv zur Infektion von PCs ausnutzen.

Auf der Sicherheitsmailing-Liste gab es zudem einen kurzen Fehlerbericht, dass ein Angreifer über eine weitere Lücke die Kontrolle über einen Drucker erlangen könnte. Ob Spammer dies bereits als neuen Verbreitungsweg ihrer unerwünschten Werbebotschaften erkannt haben, ist unbekannt. Anwender sollten auf die aktuelle Version 8.1.2 wechseln, die für Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows 2003 Server, Windows Vista und Mac OS X zum Download bereitsteht.

Siehe dazu auch:

• Security update available for Adobe Reader and Acrobat 8, Fehlerbericht von Adobe

(dab)