Adobe Reader

Aktueller Patch ist teilweise wirkungslos

Der aktuelle Patch für den Adobe Reader sollte eigentlich ein drei Monate altes Sicherheitsloch beseitigen. Das Sicherheitsleck lässt sich aber weiterhin ausnutzen, um beliebigen Programmcode auszuführen.

Artikel veröffentlicht am ,
Adobe Reader: Aktueller Patch ist teilweise wirkungslos

Im März 2010 war ein Designfehler in den PDF-Spezifikationen bekanntgeworden, worüber Angreifer beim Öffnen einer PDF-Datei beliebigen Programmcode ausführen können. In der alten Version des Adobe Reader konnte ein Warndialog gefälscht werden, so dass das Opfer keinen Hinweis auf den Angriffsversuch erhielt.

Stellenmarkt
  1. IT-Systemadministrator - Digitalisierungsprojekte Energie (m/w/d)
    Technische Werke Staßfurt GmbH, Staßfurt
  2. Systemadministrator / Netzwerkadministrator (w/m/d)
    imbus AG, Möhrendorf (bei Erlangen)
Detailsuche

Lediglich das Fälschen des Warndialogs wurde im Adobe Reader beseitigt, wie Adobe mittlerweile in einem Blogeintrag einräumt. Die Nutzung des Launch-Befehls in PDF-Applikationen ist weiterhin aktiv. Nach Angaben von Adobe wird diese Funktion von vielen Kunden des Softwarehauses verwendet, um andere Programme über eine PDF-Datei aufzurufen. Der Konzern hat sich deshalb entschieden, diese Funktion beizubehalten und lediglich durch eine Blacklist erweitert. Eine sinnvollere Whitelist gibt es demnach nicht.

Der Sicherheitsexperte Le Manh Tung hat in einem Blog darauf hingewiesen, dass sich das Sicherheitsloch vom März 2010 auch mit der aktuellen Version des Adobe Reader ausnutzen lässt, der Beispielcode muss dazu nur minimal überarbeitet werden. Lediglich der Warndialog des Adobe Reader lässt sich nun nicht mehr manipulieren.

Während die Macher des Foxit Reader wenige Tage nach Bekanntwerden dieser Sicherheitslücke ein Update ihrer Software veröffentlicht haben, passierte bei Adobe nichts. Erst Mitte April 2010 veröffentlichte Adobe einen Patch für den Adobe Reader, der sich um den Fehler allerdings gar nicht kümmerte. Erst drei Monate nach Bekanntwerden der Sicherheitslücke veröffentlichte Adobe einen Patch, der einen Angriff darüber eben nicht verhindert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


asdfasdfasdf 11. Jul 2010

Stichwort KSplice

apfelsaft 03. Jul 2010

er bietet nur oss Alternativen. Reader wie Foxit oder PDFXchangeViewer, werden nicht...

Penny 03. Jul 2010

[...] Bei ins gibt es keinen Penny und die Anleitung des Routers hab ich nie gelesen...

kein cs user 02. Jul 2010

wenn die ansprüche nicht zu hoch sind könnte man anstatt der cs doch gimp und scribus...



Aktuell auf der Startseite von Golem.de
Deutsche Bahn
9-Euro-Ticket gilt nicht in allen Nahverkehrszügen

So einfach ist es dann noch nicht: Das 9-Euro-Ticket gilt nicht in allen Zügen, die mit einem Nahverkehrsticket genutzt werden können.

Deutsche Bahn: 9-Euro-Ticket gilt nicht in allen Nahverkehrszügen
Artikel
  1. Urheberrecht: Seth Greens Affe ist entführt worden
    Urheberrecht
    Seth Greens Affe ist entführt worden

    Per Phishing-Angriff ist dem Schauspieler sein Bored-Ape-NFT entwendet worden. Das bringt seine neue Serie in Gefahr.

  2. Verifone: Bundesweite Störung von Girokarten-Terminals
    Verifone
    Bundesweite Störung von Girokarten-Terminals

    In vielen Geschäften lässt sich derzeit nur bar bezahlen. Ursache ist wohl ein Softwarefehler in Kartenzahlungsterminals für Giro- und Kreditkarten.

  3. Neuromorphic Computing: Künstliche Neuronen bis zu 16 Mal effizienter als GPUs
    Neuromorphic Computing
    Künstliche Neuronen bis zu 16 Mal effizienter als GPUs

    Mit einer Optimierung des Kurzzeitgedächtnisses machen österreichische Forscher die Verarbeitung von Datensequenzen effizienter.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /