Adobe Reader: Workaround gegen offene Sicherheitslücke

Bislang wurde kein Patch für den Adobe Reader angekündigt

Adobe hat sich erstmals zu dem Ende März 2010 bekanntgewordenen Sicherheitsloch in den PDF-Spezifikationen geäußert. Einen Patch gibt es aber vorerst nicht, nur einen Workaround, der Angriffe unmöglich machen soll.

Artikel veröffentlicht am 7. April 2010, 10:12 Uhr, Ingo Pakalski

In den PDF-Spezifikationen befindet sich ein Fehler, über den Angreifer Schadcode ausführen können. Der Adobe Reader gibt vor einer solchen Codeausführung zwar einen Warndialog aus, der lässt sich aber vom Angreifer leicht verändern, so dass er keinen wirksamen Schutz bietet.

Stellenmarkt

Allianz Deutschland AG, Stuttgart
GS electronic Gebr. Schönweitz GmbH, Rheine

In einem aktuellen Blogeintrag weist Adobe dennoch auf diese Warndialoge hin und nennt sie als Schutz gegen Angriffe. Auf das einfache Manipulieren des Warndialogs geht Adobe nicht weiter ein. Der Hersteller nennt dafür eine Konfigurationseinstellung, die solche Angriffe dauerhaft verhindern soll.

Im Trust Manager in den Programmeinstellungen muss der Menüpunkt deaktiviert werden, der Nicht-PDF-Anhängen das Aufrufen von externen Programmen erlaubt. Ob diese Einstellung Probleme mit PDF-Dokumenten oder die Funktionstüchtigkeit der Software beeinträchtigt, ist nicht bekannt. Die Einstellung kann auch in Acrobat vorgenommen werden, der von dem Sicherheitsleck ebenfalls betroffen ist.

Nachdem das Sicherheitsleck im Foxit Reader beseitigt wurde, überlegt Adobe noch, ob das Unternehmen überhaupt einen Patch veröffentlichen will, um das Sicherheitsleck zu schließen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de