Abo
  • Services:
Anzeige
Adobe Reader: Aktueller Patch ist teilweise wirkungslos

Adobe Reader

Aktueller Patch ist teilweise wirkungslos

Der aktuelle Patch für den Adobe Reader sollte eigentlich ein drei Monate altes Sicherheitsloch beseitigen. Das Sicherheitsleck lässt sich aber weiterhin ausnutzen, um beliebigen Programmcode auszuführen.

Im März 2010 war ein Designfehler in den PDF-Spezifikationen bekanntgeworden, worüber Angreifer beim Öffnen einer PDF-Datei beliebigen Programmcode ausführen können. In der alten Version des Adobe Reader konnte ein Warndialog gefälscht werden, so dass das Opfer keinen Hinweis auf den Angriffsversuch erhielt.

Anzeige

Lediglich das Fälschen des Warndialogs wurde im Adobe Reader beseitigt, wie Adobe mittlerweile in einem Blogeintrag einräumt. Die Nutzung des Launch-Befehls in PDF-Applikationen ist weiterhin aktiv. Nach Angaben von Adobe wird diese Funktion von vielen Kunden des Softwarehauses verwendet, um andere Programme über eine PDF-Datei aufzurufen. Der Konzern hat sich deshalb entschieden, diese Funktion beizubehalten und lediglich durch eine Blacklist erweitert. Eine sinnvollere Whitelist gibt es demnach nicht.

Der Sicherheitsexperte Le Manh Tung hat in einem Blog darauf hingewiesen, dass sich das Sicherheitsloch vom März 2010 auch mit der aktuellen Version des Adobe Reader ausnutzen lässt, der Beispielcode muss dazu nur minimal überarbeitet werden. Lediglich der Warndialog des Adobe Reader lässt sich nun nicht mehr manipulieren.

Während die Macher des Foxit Reader wenige Tage nach Bekanntwerden dieser Sicherheitslücke ein Update ihrer Software veröffentlicht haben, passierte bei Adobe nichts. Erst Mitte April 2010 veröffentlichte Adobe einen Patch für den Adobe Reader, der sich um den Fehler allerdings gar nicht kümmerte. Erst drei Monate nach Bekanntwerden der Sicherheitslücke veröffentlichte Adobe einen Patch, der einen Angriff darüber eben nicht verhindert.


eye home zur Startseite
asdfasdfasdf 11. Jul 2010

Stichwort KSplice

apfelsaft 03. Jul 2010

er bietet nur oss Alternativen. Reader wie Foxit oder PDFXchangeViewer, werden nicht...

Penny 03. Jul 2010

[...] Bei ins gibt es keinen Penny und die Anleitung des Routers hab ich nie gelesen...

kein cs user 02. Jul 2010

wenn die ansprüche nicht zu hoch sind könnte man anstatt der cs doch gimp und scribus...

jürgengraf 02. Jul 2010

pdfreaders.org muss es heißen



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, deutschlandweit
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. AEbt Angewandte Eisenbahntechnik GmbH, Nürnberg
  4. SEW-EURODRIVE GmbH & Co KG, Bruchsal


Anzeige
Spiele-Angebote
  1. 20,00€
  2. 4,99€
  3. 25,99€

Folgen Sie uns
       


  1. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  2. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  3. Raspberry Pi

    Raspbian auf Stretch upgedated

  4. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  5. Nvidia

    Keine Volta-basierten Geforces in 2017

  6. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  7. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  8. id Software

    Quake Champions startet in den Early Access

  9. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  10. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Breitbandausbau auf Helgoland: Deutschlands Hochseefelsen bekommt nur Vectoring
Breitbandausbau auf Helgoland
Deutschlands Hochseefelsen bekommt nur Vectoring
  1. Provider Dreamhost will keine Daten von Trump-Gegnern herausgeben
  2. Home Sharing Airbnb wehrt sich gegen Vorwürfe zu Großanbietern
  3. Illegale Waffen Migrantenschreck gibt es wieder - jetzt als Betrug

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Kompatibilität mit Sprachassistenten Trådfri-Update kommt erst im Herbst
  2. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

  1. Re: "Kriminelle Kampagnen werden immer raffinierter."

    p4m | 22:31

  2. Re: Rechner mit Termin zu Haftprüfung und...

    ptepic | 22:13

  3. Re: Ich blocke nicht die Werbung auf Golem.

    elf | 22:13

  4. Re: Dabei reichten Störungen von einem halben...

    Cok3.Zer0 | 22:10

  5. Re: Simple lösung

    MarioWario | 22:08


  1. 14:38

  2. 12:42

  3. 11:59

  4. 11:21

  5. 17:56

  6. 16:20

  7. 15:30

  8. 15:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel