Browser-Plug-In: Sicherheitsleck im Adobe Reader

Fehler in Adobe Reader 8.x korrigiert

Das Browser-Plug-In für den Adobe Reader enthält ein Sicherheitsleck, worüber Angreifer beliebige JavaScript-Kommandos ausführen können. Dazu müssen Opfer lediglich zum Öffnen einer entsprechend manipulierten URL gebracht werden. Im aktuellen Adobe Reader 8.x ist das Problem bereits korrigiert.

Artikel veröffentlicht am ,

Das Sicherheitsloch im Plug-In für den Adobe Reader verhilft einem Angreifer zu einer XSS-Attacke. Das Plug-In von Adobe zur Anzeige von PDF-Dokumenten im Browser verarbeitet so genannte "Open Parameter", um PDF-Dateien mit bestimmten Optionen zu öffnen. Dies gestattet eben auch das Anhängen eines JavaScript-Befehls an eine URL, um beliebige Kommandos auszuführen und sich so eine weit reichende Kontrolle über ein fremdes System zu verschaffen.

Beispiele zeigen, wie sich das Sicherheitsleck ausnutzen lässt. Zur Ausnutzung der Sicherheitslücke muss ein Angreifer eine PDF-Datei mit präpariertem Link auf eine Webseite stellen und die Opfer zum Öffnen dieser URL bringen. Der Adobe Reader ab der Version 8.x soll von dem Problem nicht mehr betroffen sein, so dass ein Aufstieg zur neuen Fassung oder der Wechsel zu einem alternativen Programm zur Anzeige von PDF-Dokumenten Abhilfe schaffen sollte. Alternativ kann im Browser das direkte Öffnen von PDF-Dateien in den Optionen unterbunden werden. Einen Patch für die früheren Versionen des Adobe Readers gibt es bislang nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Folterer 04. Jan 2007

Dein Beitrag ist ja obergrausam zu lesen. Schon mal was von Interpunktion und Gro...

89ß7897907099007ß9 04. Jan 2007

JavaScript und die Updatefunktion wurden bei mir im Adobe Reader 8 gleich nach der...

Speichellecker 04. Jan 2007

... ist definitiv nicht betroffen, gerade nachgeprueft (unter windows)



Aktuell auf der Startseite von Golem.de
Ron Gilbert
Chefentwickler von Monkey Island sauer auf Community

"Die Leute sind gemein": Ron Gilbert, Chefentwickler von Return to Monkey Island, reagiert auf Kritik am Grafikstil des Adventures.

Ron Gilbert: Chefentwickler von Monkey Island sauer auf Community
Artikel
  1. JD Power: Elektrofahrzeughersteller haben ernste Qualitätsprobleme
    JD Power
    Elektrofahrzeughersteller haben ernste Qualitätsprobleme

    Die Neuwagenkäufer sind nach einer Befragung von JD Power bei Polestar und Tesla besonders unzufrieden mit der Qualität. Sieger ist Buick.

  2. CD Projekt Red: Ursachenforschung über Bugs in Cyberpunk 2077
    CD Projekt Red
    Ursachenforschung über Bugs in Cyberpunk 2077

    War ein Dienstleister schuld an den massiven Fehlern in Cyberpunk 2077? Darauf deutet ein umfangreicher, aber umstrittener Leak hin.

  3. Elektroauto: BMW i3 kommt in einer Schlussphasen-Edition
    Elektroauto
    BMW i3 kommt in einer Schlussphasen-Edition

    BMW hat eine Viertelmillion i3 gebaut, doch nun wird das Auto eingestellt. Zuvor gibt es eine Sonderedition.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG UltraGear 27" WQHD 165 Hz 299€ • Switch OLED günstig wie nie: 333€ • MindStar (MSI Optix 27" WQHD 165 Hz 249€, MSI RX 6700 XT 499€) • Alternate (SSDs & RAM von Kingston) • Grafikkarten zu Toppreisen • PNY RTX 3080 12GB günstig wie nie: 929€ • Top-TVs bis 53% Rabatt [Werbung]
    •  /