Abo
  • Services:

Browser-Plug-In: Sicherheitsleck im Adobe Reader

Fehler in Adobe Reader 8.x korrigiert

Das Browser-Plug-In für den Adobe Reader enthält ein Sicherheitsleck, worüber Angreifer beliebige JavaScript-Kommandos ausführen können. Dazu müssen Opfer lediglich zum Öffnen einer entsprechend manipulierten URL gebracht werden. Im aktuellen Adobe Reader 8.x ist das Problem bereits korrigiert.

Artikel veröffentlicht am ,

Das Sicherheitsloch im Plug-In für den Adobe Reader verhilft einem Angreifer zu einer XSS-Attacke. Das Plug-In von Adobe zur Anzeige von PDF-Dokumenten im Browser verarbeitet so genannte "Open Parameter", um PDF-Dateien mit bestimmten Optionen zu öffnen. Dies gestattet eben auch das Anhängen eines JavaScript-Befehls an eine URL, um beliebige Kommandos auszuführen und sich so eine weit reichende Kontrolle über ein fremdes System zu verschaffen.

Beispiele zeigen, wie sich das Sicherheitsleck ausnutzen lässt. Zur Ausnutzung der Sicherheitslücke muss ein Angreifer eine PDF-Datei mit präpariertem Link auf eine Webseite stellen und die Opfer zum Öffnen dieser URL bringen. Der Adobe Reader ab der Version 8.x soll von dem Problem nicht mehr betroffen sein, so dass ein Aufstieg zur neuen Fassung oder der Wechsel zu einem alternativen Programm zur Anzeige von PDF-Dokumenten Abhilfe schaffen sollte. Alternativ kann im Browser das direkte Öffnen von PDF-Dateien in den Optionen unterbunden werden. Einen Patch für die früheren Versionen des Adobe Readers gibt es bislang nicht.



Anzeige
Blu-ray-Angebote
  1. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...
  2. 4,99€
  3. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)

Folterer 04. Jan 2007

Dein Beitrag ist ja obergrausam zu lesen. Schon mal was von Interpunktion und Gro...

89ß7897907099007ß9 04. Jan 2007

JavaScript und die Updatefunktion wurden bei mir im Adobe Reader 8 gleich nach der...

Speichellecker 04. Jan 2007

... ist definitiv nicht betroffen, gerade nachgeprueft (unter windows)


Folgen Sie uns
       


Intel NUC8 - Test

Winzig und kraftvoll: der NUC8 alias Hades Canyon.

Intel NUC8 - Test Video aufrufen
Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern
  2. Vor Anhörungen Zuckerberg nimmt alle Schuld auf sich
  3. Facebook Verschärfte Regeln für Politwerbung und beliebte Seiten

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /