[Warning] Kritische Sicherheitslücke in Adobe Reader und Acrobat
Otmar Lendl
lendl at cert.at
Tue Dec 15 11:49:51 CET 2009
Kritische Sicherheitslücke in Adobe Reader und Acrobat
15. Dez. 2009
Da Acrobat/Adobe Reader sehr verbreitet ist, diese Schwachstelle
bereits für gezielte Angriffe benutzt wird und der Schutz durch
Antiviren-Software noch sehr mangelhaft ist, bittet CERT.at um
Beachtung der folgenden Meldung:
Beschreibung
Das Adobe Product SIRT [1] warnt vor einer gravierenden Verwundbarkeit
in Adobe Reader und Acrobat die auch schon aktiv ausgenützt wird. Das
Öffnen eines präparierten PDF-Dokuments startet den dort verstecken
Schadcode. Ein solches Dokument kann etwa direkt per Email, oder auch
als Link in Emails, Webseiten und anderen Internetdiensten verbreitet
werden.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Da typische
Schadsoftware weiteren Code nachlädt, kann nichts ausgeschlossen
werden.
Betroffene Systeme
Laut aktuellem Wissensstand sind alle Systeme, auf denen Adobe Reader
oder Acrobat installiert ist und benutzt wird, betroffen.
Seit 11. Dezember sind Angriffe, die die Lücke aktiv ausnützen,
bekannt. Es dürfte sich hierbei laut Shadowserver [2] primär um gezielte
Attacken handeln.
Abhilfe
Der Fehler scheint in der JavaScript-Verarbeitung zu liegen. Da Adobe
noch keinen Patch anbietet, ist derzeit die einzige Möglichkeit das
Abschalten von JavaScript. Dies geht zu Beispiel mit:
Bearbeiten - Voreinstellungen - JavaScript -
Häkchen bei "Acrobat JavaScript aktivieren" entfernen
Für das simple Anzeigen von PDF-Dokumenten gibt es auch Alternativen
zur Software von Adobe.
Derzeit wird der Schadcode nur von 5 aus 41 AV-Herstellern (laut
Virustotal) erkannt, was sich aber relativ rasch bessern sollte.
Hinweis
Sowohl Acrobat/Adobe Reader als auch Adobe Flash sind sehr verbreitet.
Sicherheitslücken in dieser Software sind daher als ähnlich
schwerwiegend anzusehen wie Fehler in Microsoft Windows oder Office.
JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von
dem aktuellen Problem empfehlenswert.
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung von Adobe
[1] http://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html
Analyse von Shadowserver
[2] http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20091214
Meldung bei Heise
http://www.heise.de/security/meldung/Angriffe-auf-ungepatche-Luecke-in-Adobe-Reader-und-Acrobat-885980.html
--
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
// CERT.at -- http://www.cert.at/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20091215/6f04cd7b/attachment.sig>
More information about the Warning
mailing list