Thema: Patchday bei Adobe

[SiLæncer]

Durch eine Sicherheitslücke in Adobes Acrobat und Reader ist es möglich, beliebige lokale Dateien auszulesen und beispielsweise ins Internet zu senden. Jelmer Kuperus, bislang bekannt durch seine Analysen zu Schwachstellen im Internet Explorer, hat ein Demo-PDF auf seinen Seiten veröffentlicht, bei dessen Ansicht mit dem Acrobat 6 und Reader 6 eine lokale Datei ausgelesen und im Internet Explorer angezeigt wird. Durch die Lücke kann ein Angreifer präparierte PDFs auf einem Webserver hinterlegen, um beispielsweise Cookies von den Systemen der Besucher zu kopieren. Allerdings muss der Anwender solch ein Dokument öffnen und der Angreifer muss den Pfad zur auszulesenden Datei kennen.

Ursache der Schwachstelle ist die in Version 6 eingeführte Möglichkeit, Macromedia-Flash-Dateien und Filme (SWF) in PDFs einzubetten. Acrobat und Reader extrahieren die SWF-Datei und legen sie unter einem zufälligen Namen im temporären Verzeichnis des gerade angemeldeten Nutzers ab. Eigentlich sollten Adobes Produkte nur der Zugriff auf diese Datei gewährt sein, stattdessen ist der Lesezugriff auf die gesamte Festplatte möglich. Ein Patch gibt es derzeit nicht.

Quelle : www.heise.de

[Jürgen]

Das kommt davon, wenn man ein eigentlich ganz sinnvolles Proggie für elektronische Bücher unbedingt zu einem Multimedia-Spektakel aufzublasen versucht. Dies ist auch der Grund, weshalb Besitzer eines etwas langsameren Rechners beim Start des Adobe Readers erst 'mal Kaffee aufsetzen  
Aber das kennt man ja schon, A. Prem. braucht sogar so lange, dass der Kaffee dann schon wieder kalt ist...
Wer noch 'ne 5er Version des Acrobat Reader drauf hat, sollte die wohl besser beibehalten.

[SiLæncer]

Adobe hat Updates für Adobe Reader und Acrobat unter Windows zur Verfügung gestellt, um zwei kleine Schwachstellen zu beheben. Durch einen Fehler im ActiveX-Control kann ein Angreifer verifizieren, ob bestimmte Dateien auf dem Zielsystem vorhanden sind, indem er die Antworten des Adobe-Web-Controls analysiert. Ein Opfer muss dazu allerdings eine präparierte Web-Seite besuchen. Mit den gesammelten Informationen kann der Angreifer unter Umständen weitere Angriffe vorbereiten. Der Inhalt von Dateien lässt sich so allerdings nicht abfragen.

Zudem bringen präparierte PDF-Dokumente Reader und Acrobat zum Absturz. Betroffen sind alle Versionen des Reader und von Acrobat bis einschließlich 7.0. In 7.0.1 sind die Probleme beseitigt.

Quelle und Links : http://www.heise.de/newsticker/meldung/58205

[SiLæncer]

Anwender von ColdFusion MX 6.1 for JRun4 (Updater 1) sollten einen von Macromedia vorgeschlagenen Workaround auf dem Server durchführen. Ohne diesen ist es nämlich für externe Anwender möglich, kompilierte Java-.class-Dateien vom Server herunterzuladen. So lassen sich unter Umständen Informationen über die Arbeitsweise des Servers, seiner Struktur und vertrauliche Informationen ausspähen. Ein Patch zur Beseitigung des Problems soll in der nächsten Updater-Version enthalten sein.

Der Hersteller stuft den Fehler als kritisch ein und empfiehlt dringend die in seiner Anleitung veröffentlichten Änderungen vorzunehmen. ColdFusion 7.0 ist von der Schwachstelle nicht betroffen. Ursache des Problems ist der Updater 1, der bei der Installation vergisst, ein bestimmtes Verzeichnis anzulegen, sodass bei einem Neustart die genannten Dateien im falschen Pfad landen.

Quelle und Links : http://www.heise.de/newsticker/meldung/58372

[SiLæncer]

Adobe hat ein Sicherheits-Update für die Version 7.0.1 seines Readers zum Download bereit gestellt.

Die Updates sollen eine Sicherheitslücke ("XML External Entity vulnerability") schließen, bei der ein Angreifer unter bestimmten Voraussetzungen XML-Skripte dazu nutzen kann, Dateien des PC-Besitzers auf dessen Rechner aufzuspüren. Die Schwachstelle betrifft sowohl die Windows- als auch die Mac-Versionen. Bei Redaktionsschluss war allerdings nur ein Flicken für Windows erhältlich.

Das Adobe Reader 7.0.2-Update ist fünf MB groß und steht unter anderem für den deutschsprachigen Adobe Reader zur Verfügung. Es lässt sich aber nur dann installieren, wenn bereits der Adobe Reader 7.0.1 auf dem PC vorhanden ist. Sollte noch der Adobe Reader 7.0 sein Dasein auf Ihrem Rechner fristen, so müssen Sie zunächst das Adobe Reader 7.0.1-Update installieren und danach das Adobe Reader 7.0.2-Update.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/113995/index.html

[SiLæncer]

Sicherheitslücke im Acrobat Reader 5.x erlaubt Ausführung von Programmcode

In der Linux-Ausführung vom Acrobat Reader 5.x wurde ein Sicherheitsleck entdeckt, worüber Angreifer beliebigen Programmcode auf einem fremden System ausführen können, sofern das Opfer zum Öffnen eines präparierten PDF-Dokuments gebracht wird. Das betreffende PDF-Dokument kann etwa per E-Mail verbreitet werden oder auf einer Webseite bereitstehen.

Durch einen Buffer Overflow im Acrobat Reader der Versionen 5.0.9 und 5.0.10 für Linux lässt sich Programmcode mit den Rechten des angemeldeten Nutzers ausführen. Darüber kann sich ein Angreifer eine weit reichende Kontrolle über ein fremdes System verschaffen, wenn er seine Opfer dazu bewegt, eine entsprechend modifizierte PDF-Datei mit dem Acrobat Reader zu öffnen.

Während Adobe für Linux und Solaris lediglich rät, auf die Version 7 vom Acrobat Reader zu wechseln, der nun die Bezeichnung Adobe Reader trägt, steht für IBM-AIX sowie HP-UX die aktualisierte Version 5.0.11 der Software zum Download bereit.

Quelle und Links : http://www.golem.de/0507/39059.html

[Jürgen]

Adobe meldet in einem Security-Advisory Pufferüberlauf-Fehler in seinen Produkten Adobe Acrobat und Adobe Reader, die sich beispielsweise über das Netz in Form von E-Mails mit angehängten, speziell präparierten PDF-Dokumenten ausnutzen lassen. Betroffen sind Adobe Reader und Adobe Acrobat in den Versionen von 6.0 bis 6.0.3 und 7.0 bis 7.0.2. Adobe Acrobat ist zusätzlich in den Versionen von 5.0 bis 5.0.5 und der Reader ebenfalls in Version 5.1 anfällig. Die Fehler sind in der Software auf allen unterstützten Plattformen zu finden.

Die von Adobe nicht näher erläuterte Lücke liegt in einer Kernkomponente, die über das Plug-in-System der Adobe-Software eingebunden ist. Das Ausnutzen des Lecks durch präparierte Dokumente kann zum Absturz der Programme führen, möglicherweise lässt sich darüber aber auch beliebiger Code einschleusen und zur Ausführung bringen.

Adobe rät den Anwendern der Programme, die zur Verfügung stehenden Updates über die in der Software eingebaute Update-Funktion einzuspielen. Auf Linux und Solaris soll die Version 7.0.1 heruntergeladen und installiert werden -- für diese Systeme gab es keine Version 6 der Software. Grundsätzlich empfiehlt Adobe, auf die Programme der 7er-Serie umzuschwenken und damit die Vorgängerversionen zu ersetzen.

Siehe dazu auch:

    * Security Advisory von Adobe

(dmk/c't) Quelle und Links:
http://www.heise.de/newsticker/meldung/62876

Anmerkung von mir:
PDFs aus nicht völlig vertrauenswürdiger Quelle muss man wirklich nicht mit diesem Reader öffnen, es gibt diverse kostenlose Alternativen, die sicherlich viel seltener angegriffen werden, wenn überhaupt. Hier nutze ich default den Foxit Reader, meist genügt der völlig.
Ein Browser-Plugin nutze ich garnicht, PDFs werden immer heruntergeladen. Und für ausfüllbare Behörden-Formulare oder ähnlich spezielle Dokumente öffne ich manuell im Adobe Reader, wenn nötig.
Das ist sicher auch eine Frage der Startgeschwindigkeit und Komplexität eines solchen Darstellungs-Werkzeug, aus demselben Grunde öffne ich ja auch reine Texte entweder im Notepad oder manchmal im Wordpad, das Warten auf eine grosse Office-Suite oder das ständige Vorgeladenhalten dieser ist mir da viel zu lästig.

Das muss natürlich letzten Endes jeder selbst wissen, aber man sollte sich stets darüber im Klaren sein, dass die verbreiteten Angriffe praktisch immer die fast monopolartige Standard-Software angehen. Die Schädlinge brauchen grundsätzlich eine Art Monokultur, um sich ungehemmt verbreiten zu können, die muss man ihnen ja zumindest als Default-Anwendung nicht bieten.

Mischwälder sind meist viel robuster als Plantagen mit nur einer Sorte...

Jürgen

[SiLæncer]

Der Hersteller Macromedia berichtet in drei Security Bulletins über mehrere Sicherheitslücken in ColdFusion und JRun mit der Angreifer Sicherheitsfunktionen der Systeme aushebeln und sogar die Anwendung zum Absturz bringen kann. Unter ColdFusion lässt sich beispielsweise der Passwort-Hash des Administrators auslesen oder die Java Sandbox Security aushebeln. JRun reagiert auf bestimmte URLs mit einem Absturz und zeigt unter bestimmten Umständen den Sourcecode der Applikation an.

Betroffen sind ColdFusion MX 6.0, 6.1 und 7.0 und JRun 4.0. Macromedia stellt Updates zum Schließen der Lücken bereit und empfiehlt allen Anwendern, diese zügig zu installieren.

Siehe dazu auch:

    * Cumulative Security Updater for ColdFusion MX 7, Fehlerreport von Macromedia
    * Sandbox Security and CFMAIL Vulnerability in ColdFusion MX 6.X , Fehlerreport von Macromedia
    * Cumulative Security Updater for JRun 4.0 server, Fehlerreport von Macromedia

Quelle und Links : http://www.heise.de/newsticker/meldung/67517

[SiLæncer]

Adobe macht es Microsoft nach und stellt künftig sicherheitsrelevante Patches monatlich bereit. Ab einem nicht näher genannten Zeitpunkt in den kommenden sechs Monaten will der Grafikspezialist die meisten Produkte regelmäßig mit Updates versorgen.

Microsoft war vor zwei Jahren von unregelmäßigen, je nach Bedarf herausgegebenen Updates auf monatliche Patchdays umgestiegen; auch Oracle setzt auf Regelmäßigkeit im Vierteljahresrhythmus. Durch dieses Verhalten wollen die Hersteller Überraschungen vermeiden und so die Angst vor der ständigen Flickschusterei an der Software abbauen. Das Konzept ist allerdings nicht unumstritten – schließlich sollten kritische Sicherheitslücken möglichst sofort und nicht erst am Monatsanfang morgens um fünf geschlossen werden.

Quelle : www.heise.de

[SiLæncer]

Sicherheitslücke in Photoshop CS2 und Illustrator CS2

In Photoshop CS2, Illustrator CS2 sowie im Adobe Help Center wurde eine Sicherheitslücke entdeckt, die nun mit einem Patch geschlossen werden kann. Über das Sicherheitsloch können lokale Anwender bei Mehrbenutzersystemen bestimmte Programmdateien der Adobe-Applikationen austauschen und so schadhaften Programmcode einschleusen.

Wie Adobe mitteilt, tritt das Sicherheitsproblem auf, weil einige Programmdateien und Verzeichnisse von Photoshop CS2, Illustrator CS2 und dem Adobe Help Center nicht die richtigen Rechte aufweisen. Ein unbefugter Nutzer könnte diesen Umstand auf Mehrbenutzersystemen dazu missbrauchen, unberechtigt Programmcode einzuschleusen oder Programmteile auszutauschen.

Das Sicherheitsloch betrifft sowohl die Windows- als auch die Mac-Ausführungen von Photoshop CS2, Illustrator CS2 und dem Adobe Help Center. Da diese Komponenten auch Bestandteil der Adobe-Programmsammlung Creative Suite 2 sind, wird speziell dafür ein separater Patch angeboten, der das Sicherheitsloch schließt.

Adobe bietet den Sicherheits-Patch für Photoshop CS2, Illustrator CS2, das Adobe Help Center und die Adobe Creative Suite 2 sowohl für die Windows- als auch die Mac-Version zum Download an.

http://www.adobe.com/support/downloads/new.jsp

Quelle : www.golem.de

[SiLæncer]

Der nun zu Adobe gehörende Hersteller Macromedia hat eine kritische Lücke im Shockwave Player beseitigt, mit der Angreifer Schadcode in einen Windows-PC einbringen und ausführen konnten. Diesmal geht der (Patch-)Kelch laut Hersteller allerdings am Anwender vorbei, da sich die Lücke nur während der Online-Installation des Players auftut. Ist der Player also bereits installiert, lässt sich die Lücke nicht mehr ausnutzen. Wer sich einen neuen Player installiert, bekommt von Macromedia bereits die fehlerbereinigte Version serviert.

Ursache des Problems war ein Buffer Overflow im ActiveX-Installer-Control des Players in den Versionen 10.1.0.11 und vorhergehenden. Für einen erfolgreichen Angriff musste eine präparierte Seite zur Installation des Players auffordern und gleichzeitig versuchen, im kurzzeitig nutzbaren ActiveX-Control einen Pufferüberlauf zu provozieren.

Siehe dazu auch:

    * Improper Memory Access Vulnerability in Shockwave Player ActiveX installer, Fehlerreport von Macromedia
    * Adobe Macromedia ShockWave Code Execution, Fehlerreport der Zero Day Initiative

Quelle und Links : http://www.heise.de/security/news/meldung/70031

[SiLæncer]

Adobe warnt vor einer kritsichen Lücke im Flash-PLayer, die dazu führen kann, dass ein Angreifer Kontrolle über ein System erlangt. Für das Ausnützen dieser Schwachstelle genügt es, dass ein Anwender eine Web-Seite mit einer eingebetteten Flash-Animation in einem Browser mit Flash-Plugin öffnet. Der Angreifer kann dann eigenen Code mit den Rechten des angemeldeten Benutzers ausführen. Betroffen sind die Flash-Versionen bis 8.0.22.0, ein Update auf 8.0.24.0 beziehungsweise 7.0.63.0 schließt die Lücke. Auch für Shockwave stellt Adobe eine fehlerbereinigte Version 10.1.1 bereit. Ob außer Windows auch Linux- beziehungsweise Solaris-Systeme betroffen sind, geht nicht eindeutig aus der Warnung hervor; jedenfalls gibt es auch für diese Plattformen aktualisierte Pakete.

Das Sicherheitsloch wurde von Microsoft entdeckt; die Redmonder warnen sogar in einem eigenen Advisory und beschreiben dort auch alternative Schutzmaßnahmen für den Internet Explorer, die bis zur Deinstallation des Plug-ins reichen. Konkrete Informationen darüber, was den Fehler eigentlich verursacht, stellen jedoch weder Microsoft noch Adobe bereit. Trotzdem ist damit zu rechnen, dass sehr bald erste Exploits auftauchen, die die Schwachstelle ausnutzen, sodass ein zügiges Update anzuraten ist.

Siehe dazu auch:

    * APSB06-03 Flash Player Update to Address Security Vulnerabilities von Adobe
    * Security Advisory (916208) von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/70857

[SiLæncer]

Das kürzlich erschienene Update für Adobes Flash-Player hat unerwünschte Nebenwirkungen: Eingeschränkte Nutzer bekommen nach dem Update im Internet Explorer keine Flash-Animationen mehr zu sehen. Ein Workaround ist jedoch verfügbar.

Wer auf seinem System den empfohlenen Verfahrensweisen gemäß mit eingeschränktem Benutzerkonto arbeitet und nach dem Sicherheitsupdate anstatt der Flash-Filmchen nur noch Platzhalter mit roten Kreuzen im Internet Explorer präsentiert bekommt, kann dem Problem mit einem beherzten Eingriff in die Registry abhelfen. Der Registry-Key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ muss für den Benutzer Jeder die Berechtigung Lesen erteilt bekommen.

Vor diesem Eingriff sollte allerdings ein Backup aller wichtigen Daten angefertigt werden, da der manuelle Eingriff in die Registry riskant ist und man aus Versehen wichtige Schlüssel so manipulieren kann, dass das System beschädigt wird. Eine Antwort, ob Adobe ein weiteres Update herausgeben wird, das diese Rechte-Änderung berücksichtigt, steht noch aus.

Quelle : www.heise.de

[SiLæncer]

Adobe stellt die Version 7.08 des Adobe Readers für Windows und Mac OS X bereit. Als einzige neue Funktion nennt der Hersteller die Kontext-Suche mittels Y!Q von Yahoo. Sonst behebt die neue Version nur eine Reihe von Fehlern, die den Reader zum Absturz bringen können und Sicherheitslücken darstellen. Einen nicht näher genannten dieser Fehler stuft Adobe unter Mac OS X als kritisch ein.

Der Adobe Reader 7.08 ist bereits in die 15 unterstützen Sprachen übersetzt, darunter Deutsch. Adobe bietet einen Download des ganzen Pakets sowie Update-Versionen für Windows und Mac OS X an.

Quelle und Links : http://www.heise.de/newsticker/meldung/74372

[SiLæncer]

Zwei Sicherheitslücken hat der Sicherheitsdienstleister Fortinet in Adobes Flash-Playern entdeckt. Eine Lücke, die den Flash-Player 8.0.24 und vorherige betrifft, kann zu einem Denial-of-Service führen. Beim Verarbeiten präparierter Shockwave-Dateien stürzt das Plugin ab und zieht den Browser mit. Nur Version 8.0.24 enthält einen Fehler, durch den manipulierte swf-Dateien sogar Schadcode einschleusen könnten.

Details zu den Lücken nennt Fortinet nicht. Der Flash-Player liegt inzwischen in Version 9.0.16 vor. Anwender sollten die neue Version zügig installieren.

Siehe dazu auch:

    * Vulnerability in Macromedia Flash Player Could Allow Remote Code Execution, Sicherheitsmeldung von Fortinet
    * Denial of Service Vulnerability in Macromedia Flash Player, Sicherheitsmeldung von Fortinet
    * Download und Installation des aktuellen Flash-Players

Quelle und Links : http://www.heise.de/security/news/meldung/75188