Browser-Plug-In: Sicherheitsleck im Adobe Reader

Fehler in Adobe Reader 8.x korrigiert. Das Browser-Plug-In für den Adobe Reader enthält ein Sicherheitsleck, worüber Angreifer beliebige JavaScript-Kommandos ausführen können. Dazu müssen Opfer lediglich zum Öffnen einer entsprechend manipulierten URL gebracht werden. Im aktuellen Adobe Reader 8.x ist das Problem bereits korrigiert.

4. Januar 2007 um 09:29 Uhr / Ingo Pakalski

4 Kommentare News folgen (öffnet im neuen Fenster)

Das Sicherheitsloch im Plug-In für den Adobe Reader verhilft einem Angreifer zu einer XSS-Attacke. Das Plug-In von Adobe zur Anzeige von PDF-Dokumenten im Browser verarbeitet so genannte "Open Parameter", um PDF-Dateien mit bestimmten Optionen zu öffnen. Dies gestattet eben auch das Anhängen eines JavaScript-Befehls an eine URL, um beliebige Kommandos auszuführen und sich so eine weit reichende Kontrolle über ein fremdes System zu verschaffen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Softwareentwickler SAP (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)

IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Software-Entwickler (d/m/w) Pradtke GmbH, Bochum (öffnet im neuen Fenster)

Auszubildende Fachinformatiker für Anwendungsentwicklung (D/M/W) Pradtke GmbH, Bochum (öffnet im neuen Fenster)

Mitarbeiter*in Objektmanagement (m/w/d) Kreis Segeberg, Bad Segeberg (öffnet im neuen Fenster)

Digital Transformation Manager (w/m/d) 50Hertz Transmission GmbH, Berlin (öffnet im neuen Fenster)

Fachgebietsleiter:in Application Solutions Enercity AG, Hannover (öffnet im neuen Fenster)

Inhouse Consultant (m/w/d) für IT und Prozesse Stadtreinigung Hamburg Anstalt des öffentlichen Rechts, Hamburg (öffnet im neuen Fenster)

Beispiele zeigen(öffnet im neuen Fenster) , wie sich das Sicherheitsleck ausnutzen lässt. Zur Ausnutzung der Sicherheitslücke muss ein Angreifer eine PDF-Datei mit präpariertem Link auf eine Webseite stellen und die Opfer zum Öffnen dieser URL bringen. Der Adobe Reader ab der Version 8.x soll von dem Problem nicht mehr betroffen sein, so dass ein Aufstieg zur neuen Fassung oder der Wechsel zu einem alternativen Programm zur Anzeige von PDF-Dokumenten Abhilfe schaffen sollte. Alternativ kann im Browser das direkte Öffnen von PDF-Dateien in den Optionen unterbunden werden. Einen Patch für die früheren Versionen des Adobe Readers gibt es bislang nicht.

Zur Startseite 4 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Sicherheitsleck im Adobe Reader gestopft

Fehlerhaftes ActiveX-Control erlaubt Ausführung von Programmcode. Im Adobe Reader 7.0.x steckt ein Sicherheitsloch, wenn PDF-Dokumente per ActiveX-Control im Internet Explorer geöffnet werden. Angreifer können darüber Code ausführen und nun hat Adobe eine Abhilfe nachgereicht, nachdem als Überbrückungslösung die Löschung der betreffenden ActiveX-Controls empfohlen wurde.

Gefährliches Sicherheitsloch in Acrobat und im Adobe Reader

Sicherheitsleck steckt in allen Versionen ab Acrobat Reader 5.x. Ein gefährliches Sicherheitsleck hat Adobe in mehreren PDF-Applikationen entdeckt, worüber ein Angreifer beliebigen Programmcode ausführen kann, sofern eine manipulierte PDF-Datei mit den betroffenen Applikationen geöffnet wird. Das Sicherheitsleck steckt im Acrobat Reader 5.x, im Adobe Reader 6.x sowie 7.x und in Acrobat der Versionen 5.x bis 7.x und gilt für die Plattformen Windows, MacOS X und Linux.

Sicherheitslücke in PDF-Viewern für Linux gestopft

Acrobat Reader und xpdf in aktualisierten Versionen verfügbar. Anfang der Woche wurde eine ungefährliche Sicherheitslücke in den Linux-Programmen Acrobat Reader und xpdf zur PDF-Ansicht entdeckt. Um das Sicherheitsleck zu stopfen, wurden nun aktualisierte Fassungen der beiden Applikationen veröffentlicht.

Relevante Themen