Abo
  • Services:
Anzeige
Adobe Reader: Aktueller Patch ist teilweise wirkungslos

Adobe Reader

Aktueller Patch ist teilweise wirkungslos

Der aktuelle Patch für den Adobe Reader sollte eigentlich ein drei Monate altes Sicherheitsloch beseitigen. Das Sicherheitsleck lässt sich aber weiterhin ausnutzen, um beliebigen Programmcode auszuführen.

Im März 2010 war ein Designfehler in den PDF-Spezifikationen bekanntgeworden, worüber Angreifer beim Öffnen einer PDF-Datei beliebigen Programmcode ausführen können. In der alten Version des Adobe Reader konnte ein Warndialog gefälscht werden, so dass das Opfer keinen Hinweis auf den Angriffsversuch erhielt.

Anzeige

Lediglich das Fälschen des Warndialogs wurde im Adobe Reader beseitigt, wie Adobe mittlerweile in einem Blogeintrag einräumt. Die Nutzung des Launch-Befehls in PDF-Applikationen ist weiterhin aktiv. Nach Angaben von Adobe wird diese Funktion von vielen Kunden des Softwarehauses verwendet, um andere Programme über eine PDF-Datei aufzurufen. Der Konzern hat sich deshalb entschieden, diese Funktion beizubehalten und lediglich durch eine Blacklist erweitert. Eine sinnvollere Whitelist gibt es demnach nicht.

Der Sicherheitsexperte Le Manh Tung hat in einem Blog darauf hingewiesen, dass sich das Sicherheitsloch vom März 2010 auch mit der aktuellen Version des Adobe Reader ausnutzen lässt, der Beispielcode muss dazu nur minimal überarbeitet werden. Lediglich der Warndialog des Adobe Reader lässt sich nun nicht mehr manipulieren.

Während die Macher des Foxit Reader wenige Tage nach Bekanntwerden dieser Sicherheitslücke ein Update ihrer Software veröffentlicht haben, passierte bei Adobe nichts. Erst Mitte April 2010 veröffentlichte Adobe einen Patch für den Adobe Reader, der sich um den Fehler allerdings gar nicht kümmerte. Erst drei Monate nach Bekanntwerden der Sicherheitslücke veröffentlichte Adobe einen Patch, der einen Angriff darüber eben nicht verhindert.


eye home zur Startseite
asdfasdfasdf 11. Jul 2010

Stichwort KSplice

apfelsaft 03. Jul 2010

er bietet nur oss Alternativen. Reader wie Foxit oder PDFXchangeViewer, werden nicht...

Penny 03. Jul 2010

[...] Bei ins gibt es keinen Penny und die Anleitung des Routers hab ich nie gelesen...

kein cs user 02. Jul 2010

wenn die ansprüche nicht zu hoch sind könnte man anstatt der cs doch gimp und scribus...

jürgengraf 02. Jul 2010

pdfreaders.org muss es heißen



Anzeige

Stellenmarkt
  1. Hays AG, Raum Frankfurt
  2. Pneuhage Management GmbH & Co. KG, Karlsruhe
  3. Robert Bosch GmbH, Ludwigsburg
  4. SYNLAB Holding Deutschland GmbH, Hamburg


Anzeige
Spiele-Angebote
  1. (u. a. BioShock: The Collection 16,99€, Borderlands 2 GOTY 7,99€, Civilization VI 35,99€ und...
  2. 16,99€

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Dokumentarfilm Pre-Crime: Wenn Computer Verbrechen vorhersagen
Dokumentarfilm Pre-Crime
Wenn Computer Verbrechen vorhersagen

Programmiersprache für Android: Kotlin ist auch nur eine Insel
Programmiersprache für Android
Kotlin ist auch nur eine Insel
  1. Programmiersprache Fetlang liest sich "wie schlechte Erotikliteratur"
  2. CMS Drupal 8.4 stabilisiert Module
  3. Vespa Yahoos Big-Data-Engine wird Open-Source-Projekt

Core i7-8700K und Core i5-8400 im Test: Ein Sechser von Intel
Core i7-8700K und Core i5-8400 im Test
Ein Sechser von Intel
  1. Core i7-8700K Ultra Edition Overclocking-CPU mit Silber-IHS und Flüssigmetall
  2. Intel Coffee Lake Von Boost-Betteln und Turbo-Tricks
  3. Coffee Lake Intel verkauft sechs Kerne für unter 200 Euro

  1. Re: "kann zwar kein Benzintank explodieren"

    bombinho | 23:44

  2. Re: Hier der Beweis ;-)

    mathew | 23:41

  3. Re: Was bitte ist an W10 "vollwertig"?

    zuschauer | 23:39

  4. Re: Sollten lieber den Desktop komplett an MacOS...

    TrudleR | 23:34

  5. Re: Wenn man dem System Linux schaden wöllte,

    stiGGG | 23:25


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel