Adobe Reader

Aktueller Patch ist teilweise wirkungslos

Der aktuelle Patch für den Adobe Reader sollte eigentlich ein drei Monate altes Sicherheitsloch beseitigen. Das Sicherheitsleck lässt sich aber weiterhin ausnutzen, um beliebigen Programmcode auszuführen.

Anzeige

Im März 2010 war ein Designfehler in den PDF-Spezifikationen bekanntgeworden, worüber Angreifer beim Öffnen einer PDF-Datei beliebigen Programmcode ausführen können. In der alten Version des Adobe Reader konnte ein Warndialog gefälscht werden, so dass das Opfer keinen Hinweis auf den Angriffsversuch erhielt.

Lediglich das Fälschen des Warndialogs wurde im Adobe Reader beseitigt, wie Adobe mittlerweile in einem Blogeintrag einräumt. Die Nutzung des Launch-Befehls in PDF-Applikationen ist weiterhin aktiv. Nach Angaben von Adobe wird diese Funktion von vielen Kunden des Softwarehauses verwendet, um andere Programme über eine PDF-Datei aufzurufen. Der Konzern hat sich deshalb entschieden, diese Funktion beizubehalten und lediglich durch eine Blacklist erweitert. Eine sinnvollere Whitelist gibt es demnach nicht.

Der Sicherheitsexperte Le Manh Tung hat in einem Blog darauf hingewiesen, dass sich das Sicherheitsloch vom März 2010 auch mit der aktuellen Version des Adobe Reader ausnutzen lässt, der Beispielcode muss dazu nur minimal überarbeitet werden. Lediglich der Warndialog des Adobe Reader lässt sich nun nicht mehr manipulieren.

Während die Macher des Foxit Reader wenige Tage nach Bekanntwerden dieser Sicherheitslücke ein Update ihrer Software veröffentlicht haben, passierte bei Adobe nichts. Erst Mitte April 2010 veröffentlichte Adobe einen Patch für den Adobe Reader, der sich um den Fehler allerdings gar nicht kümmerte. Erst drei Monate nach Bekanntwerden der Sicherheitslücke veröffentlichte Adobe einen Patch, der einen Angriff darüber eben nicht verhindert.

Kommentarübersicht
Re: Langsam habe ich die Faxen dicke!
asdfasdfasdf 11. Jul 2010

Stichwort KSplice

Re: germar rudolf
apfelsaft 03. Jul 2010

er bietet nur oss Alternativen. Reader wie Foxit oder PDFXchangeViewer, werden nicht...

Re: Warum Blacklist und keine Whitelist?
Penny 03. Jul 2010

[...] Bei ins gibt es keinen Penny und die Anleitung des Routers hab ich nie gelesen...

Re: Wie gesagt: Adobe ist am Ende ..!
kein cs user 02. Jul 2010

wenn die ansprüche nicht zu hoch sind könnte man anstatt der cs doch gimp und scribus...

sumatrapdf und pdfreaders.org
jürgengraf 02. Jul 2010

pdfreaders.org muss es heißen

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Junior Test Engineer (m/w)
    NDS GmbH, Unterföhring
  2. Softwareentwickler (m/w) TargetLink Code-Generator
    dSPACE GmbH, Paderborn
  3. Anwendungsentwickler / Anwendungsentwicklerin Softwareneuentwicklung
    Techniker Krankenkasse, Hamburg
  4. Wissenschaftliche/r Mitarbeiterin / Mitarbeiter
    Universität Passau, Passau

 

Detailsuche

Folgen Sie uns
       
Videos
Joseph Weizenbaum - Krieg ist der Feind Joseph Weizenbaum - Krieg ist der Feind
Meistgelesen
  1. Paypal

    Nutzern von Kino.to drohen Strafverfahren
  2. Desktop-Roadmap

    Mozilla hat mit Firefox 2012 viel vor
  3. Spielebranche

    Diskussion über "stinkende Gamer"
  4. Gerüchte

    Apple will alle Notebooks dünner machen
  5. Tilt-Shift-Effekt

    Generator für Spielzeuglandschaften
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 268 | letzter Beitrag 17:59 Uhr

  2. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 175 | letzter Beitrag 19:39 Uhr

  3. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 169 | letzter Beitrag 19:20 Uhr

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 116 | letzter Beitrag 18:47 Uhr

  5. Acta-Demos: Zehntausende gegen "bekACTA Scheiß" in München und Berlin

    Kommentare: 96 | letzter Beitrag 16:40 Uhr

Mehr

Ticker
  1. Jugendschutz

    Filtersoftware von Jusprog und Telekom staatlich anerkannt

  2. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

  3. Deutsche Post

    Zusatzfunktionen beim E-Postbrief dauern länger

  4. Gnome

    Neue Spezifikation für Fensterlayout

  5. Samsung Galaxy Tab 2

    7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

  6. IBM-Mainframe

    Nasa schaltet letzten Großrechner ab

  7. Appmenu Runner

    Head-Up Display auch in KDE

  8. Galaxy S2 mit Android 2.3.6

    Update wegen Abstürzen zurückgezogen?

  9. Fair Labor Association

    Apple lässt Foxconn überprüfen

  10. 802.11ac

    Broadcom will Chips für Gigabit-WLAN noch 2012 liefern

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Android-Handy
Cloud Mobile: Acer plant Smartphone mit Android 4.1 und eigener Cloud
Cloud Mobile
Acer plant Smartphone mit Android 4.1 und eigener Cloud

MWC 2012 Auf dem Mobile World Congress will Acer ein Smartphone mit Android 4.1 und 1,5-GHz-Dual-Core-Prozessor vorstellen. Das Cloud Mobile greift auf einen Acer-eigenen Cloud-Dienst zurück, über den Filme und Musik auf mobile Geräte übertragen werden können.

  1. Motorola Defy Mini Android-Smartphone mit IP67-Zertifizierung kommt im März
  2. Android-Smartphone Motorola bringt Motoluxe erst im März für 280 Euro
  3. HTC WLAN-Sicherheitsloch in Android-Smartphones
iPad 3
Apple-Tablet: iPad 3 wird angeblich in der ersten Märzwoche vorgestellt
Apple-Tablet
iPad 3 wird angeblich in der ersten Märzwoche vorgestellt

Nicht im Februar, aber Anfang März wird Apple sein nächstes iPad vorstellen, meldet All Things Digital, das Blog des Wall Street Journal.

  1. QXGA-Display iPad 3 mit 2.048 x 1.536 Pixeln?
  2. Gerüchte iPad 3 mit LTE, Quad-Core-CPU und Retina-Display
  3. Apple Künftige iPads vermutlich mit IGZO-LCDs
Joseph Weizenbaum
Joseph Weizenbaum: Inseln der Vernunft im Meer des Unsinns
Joseph Weizenbaum
Inseln der Vernunft im Meer des Unsinns

In der globalisierten Welt müssten Wissenschaft und Wirtschaft enorme Verantwortung übernehmen, sagte der Informatiker Joseph Weizenbaum. Enden könne das im totalen Kollaps - wenn sich nicht aus den Inseln der Vernunft "in einem riesigen Meer von Unsinn und Blödsinn" irgendwann ein Kontinent bilde.

Forumsbeiträge »
  1. Nutzer in Deutschland Immer mehr Onlinezeit im sozialen Netzwerk

    Re: TV-Tipp: Milliardengeschäft Freundschaft...

    elgooG | 20:22

  2. Lumia-Smartphones Nokias Offensive auch in Deutschland gescheitert

    Re: "Der Golem besitzt besondere Kräfte, kann...

    stoa | 20:17

  3. Schnurlos Induktionsladung für das iPad

    Induktion Iphone

    JUMPIN MD | 20:16

  4. Jugendschutz Filtersoftware von Jusprog und Telekom staatlich anerkannt

    Re: Problem dabei ist nur...

    beaver | 20:15

  5. Gema-Vermerk Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

    Re: Typisch die Kommentare von "urheberblog".

    ah_dx | 20:15

Ticker »
  1. Jugendschutz Filtersoftware von Jusprog und Telekom staatlich anerkannt

    19:07

  2. Gema-Vermerk Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

    18:55

  3. Deutsche Post Zusatzfunktionen beim E-Postbrief dauern länger

    18:06

  4. Gnome Neue Spezifikation für Fensterlayout

    17:53

  5. Samsung Galaxy Tab 2 7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

    17:26

  6. IBM-Mainframe Nasa schaltet letzten Großrechner ab

    16:49

  7. Appmenu Runner Head-Up Display auch in KDE

    16:25

  8. Galaxy S2 mit Android 2.3.6 Update wegen Abstürzen zurückgezogen?

    16:20

Zum Artikel