Adobe Reader: Workaround gegen offene Sicherheitslücke
Bislang wurde kein Patch für den Adobe Reader angekündigt
Adobe hat sich erstmals zu dem Ende März 2010 bekanntgewordenen Sicherheitsloch in den PDF-Spezifikationen geäußert. Einen Patch gibt es aber vorerst nicht, nur einen Workaround, der Angriffe unmöglich machen soll.
In den PDF-Spezifikationen befindet sich ein Fehler, über den Angreifer Schadcode ausführen können. Der Adobe Reader gibt vor einer solchen Codeausführung zwar einen Warndialog aus, der lässt sich aber vom Angreifer leicht verändern, so dass er keinen wirksamen Schutz bietet.
In einem aktuellen Blogeintrag weist Adobe dennoch auf diese Warndialoge hin und nennt sie als Schutz gegen Angriffe. Auf das einfache Manipulieren des Warndialogs geht Adobe nicht weiter ein. Der Hersteller nennt dafür eine Konfigurationseinstellung, die solche Angriffe dauerhaft verhindern soll.
Im Trust Manager in den Programmeinstellungen muss der Menüpunkt deaktiviert werden, der Nicht-PDF-Anhängen das Aufrufen von externen Programmen erlaubt. Ob diese Einstellung Probleme mit PDF-Dokumenten oder die Funktionstüchtigkeit der Software beeinträchtigt, ist nicht bekannt. Die Einstellung kann auch in Acrobat vorgenommen werden, der von dem Sicherheitsleck ebenfalls betroffen ist.
Nachdem das Sicherheitsleck im Foxit Reader beseitigt wurde, überlegt Adobe noch, ob das Unternehmen überhaupt einen Patch veröffentlichen will, um das Sicherheitsleck zu schließen.
Welch Argument. Zur Verbesserung der Sicherheit muss man bei Adobe eine Funktion...