[Warning] Kritische Sicherheitslücke in Adobe Reader und Acrobat

Otmar Lendl lendl at cert.at
Tue Dec 15 11:49:51 CET 2009 

Kritische Sicherheitslücke in Adobe Reader und Acrobat

   15. Dez. 2009

   Da Acrobat/Adobe Reader sehr verbreitet ist, diese Schwachstelle
   bereits für gezielte Angriffe benutzt wird und der Schutz durch
   Antiviren-Software noch sehr mangelhaft ist, bittet CERT.at um
   Beachtung der folgenden Meldung:

Beschreibung

   Das Adobe Product SIRT [1] warnt vor einer gravierenden Verwundbarkeit
   in Adobe Reader und Acrobat die auch schon aktiv ausgenützt wird. Das
   Öffnen eines präparierten PDF-Dokuments startet den dort verstecken
   Schadcode. Ein solches Dokument kann etwa direkt per Email, oder auch
   als Link in Emails, Webseiten und anderen Internetdiensten verbreitet
   werden.

Auswirkungen

   Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
   ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
   alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
   VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Da typische
   Schadsoftware weiteren Code nachlädt, kann nichts ausgeschlossen
   werden.

Betroffene Systeme

   Laut aktuellem Wissensstand sind alle Systeme, auf denen Adobe Reader
   oder Acrobat installiert ist und benutzt wird, betroffen.

   Seit 11. Dezember sind Angriffe, die die Lücke aktiv ausnützen,
   bekannt. Es dürfte sich hierbei laut Shadowserver [2] primär um gezielte
   Attacken handeln.

Abhilfe

   Der Fehler scheint in der JavaScript-Verarbeitung zu liegen. Da Adobe
   noch keinen Patch anbietet, ist derzeit die einzige Möglichkeit das
   Abschalten von JavaScript. Dies geht zu Beispiel mit:

             Bearbeiten - Voreinstellungen - JavaScript -
        Häkchen bei "Acrobat JavaScript aktivieren" entfernen

   Für das simple Anzeigen von PDF-Dokumenten gibt es auch Alternativen
   zur Software von Adobe.

   Derzeit wird der Schadcode nur von 5 aus 41 AV-Herstellern (laut
   Virustotal) erkannt, was sich aber relativ rasch bessern sollte.

Hinweis

   Sowohl Acrobat/Adobe Reader als auch Adobe Flash sind sehr verbreitet.
   Sicherheitslücken in dieser Software sind daher als ähnlich
   schwerwiegend anzusehen wie Fehler in Microsoft Windows oder Office.

   JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von
   dem aktuellen Problem empfehlenswert.

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.

     __________________________________________________________________


Informationsquelle(n):

Meldung von Adobe
[1] http://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html

Analyse von Shadowserver
[2] http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20091214

Meldung bei Heise
http://www.heise.de/security/meldung/Angriffe-auf-ungepatche-Luecke-in-Adobe-Reader-und-Acrobat-885980.html


-- 
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
//       CERT.at    --      http://www.cert.at/

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20091215/6f04cd7b/attachment.sig>

More information about the Warning mailing list