Browser-Plug-In: Sicherheitsleck im Adobe Reader
Fehler in Adobe Reader 8.x korrigiert
Das Browser-Plug-In für den Adobe Reader enthält ein Sicherheitsleck, worüber Angreifer beliebige JavaScript-Kommandos ausführen können. Dazu müssen Opfer lediglich zum Öffnen einer entsprechend manipulierten URL gebracht werden. Im aktuellen Adobe Reader 8.x ist das Problem bereits korrigiert.
Das Sicherheitsloch im Plug-In für den Adobe Reader verhilft einem Angreifer zu einer XSS-Attacke. Das Plug-In von Adobe zur Anzeige von PDF-Dokumenten im Browser verarbeitet so genannte "Open Parameter", um PDF-Dateien mit bestimmten Optionen zu öffnen. Dies gestattet eben auch das Anhängen eines JavaScript-Befehls an eine URL, um beliebige Kommandos auszuführen und sich so eine weit reichende Kontrolle über ein fremdes System zu verschaffen.
Beispiele zeigen, wie sich das Sicherheitsleck ausnutzen lässt. Zur Ausnutzung der Sicherheitslücke muss ein Angreifer eine PDF-Datei mit präpariertem Link auf eine Webseite stellen und die Opfer zum Öffnen dieser URL bringen. Der Adobe Reader ab der Version 8.x soll von dem Problem nicht mehr betroffen sein, so dass ein Aufstieg zur neuen Fassung oder der Wechsel zu einem alternativen Programm zur Anzeige von PDF-Dokumenten Abhilfe schaffen sollte. Alternativ kann im Browser das direkte Öffnen von PDF-Dateien in den Optionen unterbunden werden. Einen Patch für die früheren Versionen des Adobe Readers gibt es bislang nicht.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Dein Beitrag ist ja obergrausam zu lesen. Schon mal was von Interpunktion und Gro...
JavaScript und die Updatefunktion wurden bei mir im Adobe Reader 8 gleich nach der...
... ist definitiv nicht betroffen, gerade nachgeprueft (unter windows)