Thema: Patchday bei Adobe

[SiLæncer]

Der Hersteller Adobe hat für seine Produkte Flash Player und Photoshop CS2/CS3 Softwareaktualisierungen bereitgestellt. Sie schließen Sicherheitslücken, die Angreifer etwa mit präparierten Webseiten oder Dateianhängen an E-Mails ausnutzen können, um Schadcode einzuschleusen.

Im Flash Player 9.0.45.0 und vorherigen Versionen kann eine fehlende Eingabeprüfung zur Ausführung eingeschleusten Codes führen. Eine mangelhafte Überprüfung von http-Referern in Flash Player 8.0.34.0 und älteren Fassungen vereinfacht Cross-Site-Scripting. In Version 7.0.70.0 der Software für Linux und Solaris gibt es ein Sicherheitsproblem im Zusammenspiel mit Opera und Konqueror, das Adobe aber nicht näher erläutert. Adobe empfiehlt Nutzern der Software, auf die Version 9.0.47.0 zu aktualisieren, stellt aber auch Patches für weitere Versionen bereit.

Die Updates für Photoshop CS2 und CS3 beheben die von Marsu Ende April entdeckten Schwachstellen bei der Verarbeitung von manipulierten Bilddateien in den Formaten BMP, DIB, RLE und PNG, die Angreifern ebenfalls das Einschmuggeln beliebigen Programmcodes ermöglichen. Dazu muss der Anwender jedoch präparierte Bilder, etwa aus E-Mail-Dateianhängen, mit Photoshop öffnen. Die Patches für Windows und Mac OS X verlinkt Adobe in der Sicherheitsmeldung. Der Hersteller empfiehlt, das Update zügig einzuspielen.

Quelle : www.heise.de

[SiLæncer]

Petko Petkov (pdp) hat eigenen Angaben zufolge eine kritische Sicherheitslücke im Adobe Reader entdeckt, durch die Angreifer ein System kompromittieren können. Dazu genüge das Öffnen manipulierter PDF-Dokumente. Nähere Details oder eine Demonstration der Schwachstelle bleibt der Security-Blogger jedoch schuldig.

Petkov hat in der Vergangenheit bereits Details zu Schwachstellen etwa in Firefox mit installiertem QuickTime-Plugin, im Second-Life-Client oder im JavaScript-Debugger Firebug veröffentlicht. Die Fehler in Firefox beziehungsweise QuickTime und in Firebug haben die Software-Entwickler bestätigt und behoben. Daher kann man davon ausgehen, dass Petkovs Meldung der PDF-Lücke Substanz hat, auch wenn nähere Informationen gänzlich fehlen. In den Kommentaren zu dem Blog-Eintrag liefert Petkov inzwischen ein Video nach, in dem zu sehen ist, wie nach dem Öffnen eines PDF-Dokuments der Windows-Taschenrechner gestartet wird. Petkov zufolge habe Adobe die Lücke inzwischen bestätigt.

Petkov rät dazu, nicht vertrauenswürdige PDF-Dateien bis zur Verfügbarkeit eines Updates nicht zu öffnen. Der Fehler soll neben Adobe Reader 7.0, 8.0 und 8.1 unter Windows XP mit Service Pack 2 und installiertem Internet Explorer 7 auch alternative PDF-Reader wie FoxIt betreffen, daher sei auch deren Nutzung keine Alternative. Unter Windows Vista solle der Fehler allerdings nicht auftreten.

Siehe dazu auch:

    * 0day: PDF pwns Windows, Fehlermeldung von Petko Petkov (pdp)
    * 0day: PDF pwns Windows, Sicherheitsmeldung von pdp auf der Mailingliste Full Disclosure
    * Video auf YouTube von pdp, das die Lücke demonstrieren soll

Quelle und Links : http://www.heise.de/security/news/meldung/96319/Moeglicherweise-kritische-Luecke-im-Adobe-Reader

[SiLæncer]

Security-Experten von Google warnen vor gefährlichen Sicherheitslücken in Flash-Applets. Im Rahmen einer Untersuchung entdeckten sie zusammen mit Mitarbeitern der Security-Firma iSEC nach eigenen Angaben auf öffentlichen Webseiten sage und schreibe mehr als 500.000 Flash-Dateien, die anfällig für bestimmte Cross-Site-Scripting-Attacken (XSS) sind. Gegen die entdeckten Gefahren biete auch das jüngste Sicherheits-Update von Adobes Flash-Player keinen Schutz, erklärten die Forscher. Derlei Flash-Dateien fanden sie unter anderem auf Regierungs- und Online-Banking-Websites.

Details veröffentlicht die Gruppe in ihrem Buch "Hacking Exposed Web 2.0", das im Januar 2008 in den USA erscheinen wird. Der alarmierende Inhalt kursiert dem britischen IT-Newsdienst The Register zufolge allerdings längst in den Sicherheitsabteilungen von Unternehmen. Adobe sei bereits im Sommer 2007 über die Rechercheergebnisse informiert worden.

Die Autoren weisen darauf hin, dass Security-Patches für den Flash-Client keine Lösung für die Probleme bringen können: Der Schadcode werde von vielen gängigen Flash-Tools bereits beim Erstellen generiert, darunter DreamWeaver, Connect, Breeze und Camtasia. Er ermögliche, dass beim Ausführen von SWF-Dateien über einen manipulierten Link mit bestimmten Variablen beispielsweise entfernte Cookies ausgelesen oder Logindaten ausgespäht werden können.

Quelle : www.heise.de

[SiLæncer]

Das Grafik- und Bildbearbeitungspaket Creative Suite 3 von Adobe kommuniziert in ausgesuchten Fällen mit der Adresse 192.168.112.2O7.net. Laut einem Blog-Eintrag des Photoshop-Produkt-Managers John Nack werden im Zuge einer Nutzungsstatistik drei Typen von Anfragen protokolliert: News-Meldungen, welche die Creative Suite in Form von Flash-Dateien in den Startbildschirm einzelner Anwendungen lädt, Informationen von Adobe, die in der Bridge-Implementierung des Web-Browsers Opera erscheinen, und Anfragen, die Anwender über Online-Hilfe und Nutzerforen stellen.

Dass Software-Produkte gerne nach Hause telefonieren, um anonyme Nutzungsstatistiken zu übermitteln, ist mittlerweile bekannt. In diesem Fall erregt die Zieladresse besonderes Aufsehen. Bei genauem Hinsehen stellt sich nämlich heraus, dass es sich am Ende nicht um die Zahl 207, sondern um den von Zahlen eingerahmten Buchstaben O handelt. Was also auf den ersten Blick wie eine für lokale Netzwerke reservierte IP-Adresse aussieht, entpuppt sich als eine Subdomain der URL 2o7.net, hinter der die öffentliche IP-Adresse 216.52.17.207 steckt. Die Adresse 192.168.112.2O7.net war bereits 2001 dem Spyware-Warrior aufgefallen. Sie gehört dem US-amerikanischen Unternehmen Omniture, das unter anderem für Adobe Nutzerstatistiken erstellt.

Sowohl Adobe als auch Omniture bleiben eine Erklärung schuldig, warum sie das Versteckspiel mit der angeblich lokalen IP-Adresse treiben. Lokale Firewalls lassen sich damit nicht austricksen; die melden, dass ein Adobe-Programm auf das Internet zugreifen möchte. Eine Whois-Anfrage an einen Server der American Registry for Internet Numbers (ARIN) wurde damit beantwortet, dass es sich bei der eingegebenen Domain um eine IP-Adresse eines reservierten Bereichs handele. Offenbar hat der Parser des Servers die dubiose Adresse fälschlicherweise als IP-Adresse interpretiert. Omniture möchte anscheinend unentdeckt bleiben, um möglichst viele Nutzerstatistiken sammeln zu können. Denn wer damit nicht einverstanden ist, muss erstmal den relevanten Adressteil 2o7.net entschlüsseln und in den Browser eingeben, um auf der dortigen Seite den Opt-Out-Button zu finden, der den Rechner von den Nutzungsstatistiken ausnimmt.

Quelle : http://www.heise.de/newsticker/meldung/101258

[SiLæncer]

Zu den Ende des vergangenen Jahres gemeldeten Sicherheitsproblemen aufgrund von Cross-Site-Scripting-Schwachstellen in Flash-Applets gibt es nun genauere Informationen. Offenbar lassen sich Fehler in verbreiteten Flash-Authoring-Tools ausnutzen, um Anwendern präparierten JavaScript-Code unterzuschieben und im Browser des Anwenders auszuführen. Angreifer können dadurch beispielsweise Cookies und Passwörter auslesen oder im Kontext der aufgerufenen Seite Aktionen durchführen, etwa Einträge in Blogs platzieren und Kommentare abgeben.

Zu den Tools gehören laut Bericht Adobe Dreamweaver, Adobe Acrobat Connect ehemals Macromedia Breeze, InfoSoft FusionCharts und Techsmith Camtasia. Die damit generierten SWF-Dateien seien auf zahlreichen Webseiten zu finden. Schätzungsweise mehrere hunderttausend Flash-Applets würden das Problem aufweisen, dabei sei ein nicht unerheblicher Prozentsatz großer, beliebter Webseiten betroffen – darunter auch Regierungs- und Online-Banking-Websites.

Das Problem ist laut Bericht aber nicht auf die genannten Tools begrenzt, dies seien nur diejenigen Produkte, bei denen der Hersteller den Fehler bereits mit einem Update korrigiert haben. Betroffen seien zudem Dienstleister wie Autodemo, die für Kunden Flash-Anwendungen entwickeln und dabei offenbar ein verwundbares Tool einsetzen.

Das eigentliche Problem beruht laut Bericht auf der Einbettung fehlerhaften ActionScript-Codes in SWF-Dateien, mit denen sich bestimmte Funktionen steuern lassen. Dieser immer gleiche Code wird jedesmal bei Speichern oder Exportieren in eine SWF-Datei eingefügt. Der ActionScript-Code lässt sich missbrauchen, um ein als Argument übergebenes JavaScript im Sicherheitskontext der besuchten Seite auszuführen, obwohl der JavaScript-Code gar nicht von dort stammt, sondern von der Seite eines Angreifers. Dazu ist es aber notwendig, einen präparierten Link anzuklicken. Ein Link zum Ausnutzen einer XSS-Schwachstelle im Dreamweaver sieht beispielsweise so aus:

Code: [Auswählen]

http://www.example.com/main.swf?baseurl=asfunction:getURL,javascript:alert(1)//
Ein Fehler in InfoSofts FusionCharts ermöglichte über folgenden Link sogar das Nachladen weiterer SWF-Dateien aus anderen Domains.

Code: [Auswählen]

http://www.example.com/Example.swf?debugMode=1&dataURL=%27%3E%3Cimg+src%3D%22http%3A//cannings.org/DoKnowEvil.swf%3F.jpg%22%3E
Die im Dezember erschienene aktualisierte Fassung des Adobe Flash Players verhindert zumindest bei den Adobe-Produkten, dass Angreifer die Fehler über den asfunction-Protokoll-Handler ausnutzen können. Webmastern empfiehlt der Autor des Fehlerberichts, die verwundbaren Flash-Applets von den Seiten zu entfernen und mit fehlerbereinigten Versionen der Authoring-Tools neu zu erstellen. Zudem sollte man die an ActionScript übergebenen Nutzer-definierte Variablen bei allen URL-Funktionen genauer überprüfen. Mit dem Tool SWFIntruder können Entwickler zudem die Sicherheit ihrer Flash-Anwendungen testen.

Quelle : www.heise.de

[SiLæncer]

Adobe hat in seinen Release Notes zwar noch lapidar auf Schwachstellen hingewiesen, die mit Version 8.1.2 des Adobe Reader geschlossen wurden, allerdings versäumt darauf hinzuweisen, wie kritisch diese sind. Allgemein wurde diese Vorgehensweise in der Security Community eher als "Silent Fixing" verstanden, also einer restriktiven Informationspolitik, um die wahren Ausmaße unter Verschluss zu halten. Dies hat einigen Unmut unter Sicherheitsspezialisten verursacht. Mittlerweile hat Adobe ein Security Advisory nachgereicht, das auf einige kritische Lücken hinweist, die Hintergründe jedoch weiter unterschlagen.

Offenbar handelt es sich um relativ kritische Lücken, für die auch schon Exploits verfügbar sind. So hat der Sicherheitsdienstleister Immunity seiner zahlenden Kundschaft in den letzten zwei Tagen zwei Exploits zugänglich gemacht. Einer davon ist nur als "PoC for Adobe Acrobat Reader (<8.1.2) buffer overflow" beschrieben, der andere als "Fully working exploit for Adobe Acrobat Reader (<8.1.2) Javascript Stack Overflow". Wenigstens einer der beiden soll sich eignen, ein System zu kompromittieren. Bislang unbestätigten Meldungen zufolge sollen präparierte Webseiten eine der Lücken bereits aktiv zur Infektion von PCs ausnutzen.

Auf der Sicherheitsmailing-Liste gab es zudem einen kurzen Fehlerbericht, dass ein Angreifer über eine weitere Lücke die Kontrolle über einen Drucker erlangen könnte. Ob Spammer dies bereits als neuen Verbreitungsweg ihrer unerwünschten Werbebotschaften erkannt haben, ist unbekannt. Anwender sollten auf die aktuelle Version 8.1.2 wechseln, die für Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows 2003 Server, Windows Vista und Mac OS X zum Download bereit steht.

Siehe dazu auch:

    * Security update available for Adobe Reader and Acrobat 8, Fehlerbericht von Adobe

Quelle : http://www.heise.de/security/Raetselraten-um-Update-fuer-Adobes-Reader--/news/meldung/103184

[SiLæncer]

Offenbar bereits seit einigen Wochen werden Mails Spam-artig verbreitet, die im Anhang speziell präparierte PDF-Dateien enthalten. Diese sollen eine erst kürzlich von Adobe gestopfte Schwachstelle im Adobe Reader ausnutzen.

Ende letzter Woche hat Adobe die neue Version 8.1.2 seines kostenlosen PDF-Readers bereit gestellt. Wie inzwischen bekannt geworden ist, werden bereits seit etwa 20. Januar Spam-Mails verschickt, die präparierte PDF-Dateien enthalten. Auch Werbebanner auf Web-Seiten streuen solche PDF-Dateien. Diese sollen eine der von Adobe geschlossenen, aber nicht erwähnten Sicherheitslücken ausnutzen. Wie das Internet Storm Center berichtet, schleusen diese Dateien im Erfolgsfall ein Trojanisches Pferd ein.

Die zuerst am 20. Januar in einem italienischen Web-Forum gemeldeten Exploit-Dateien sind so präpariert, dass sie einen Pufferüberlauf im Adobe Reader (bis Version 8.1.1) provozieren und ein Trojanisches Pferd aus der Familie "Zonebac" installieren. Auch ältere Versionen, etwa 7.x, des Adobe Readers sind anfällig. Der Zonebac-Schädling versucht Antivirus-Programme zu deaktivieren und manipuliert Suchergebnisse und Werbebanner.
Am Freitag, den 8.Februar, hat das zu Verizon gehörende Sicherheitsunternehmen iDefense drei Sicherheitsmitteilungen veröffentlicht, aus denen etwas mehr zu den von Adobe gestopften Sicherheitslücken zu erfahren ist. Demnach sind die Schwachstellen bereit im Herbst 2007 von iDefense entdeckt worden. Sie betreffen den Umgang des Adobe Readers mit Javascript-Anweisungen und dessen Nutzung von Programmbibliotheken zur Verschlüsselung und Signaturüberprüfung.

Die ersten der präparierten PDF-Dateien stammten von einem Server in den Niederlanden, der mittlerweile nicht mehr erreichbar ist. Antivirus-Hersteller haben seit der ISC-Meldung von Samstag die Erkennung der bekannten PDF-Dateien in ihren Produkten verbessert.

Quelle : www.pcwelt.de

[SiLæncer]

Die Hersteller von Antivirensoftware weisen auf präparierte PDF-Dokumente hin, durch die Angreifer den PC eines Opfers mit Schädlingen infizieren können. Dazu genügt es, ein Dokument auf einer Webseite etwa mit dem Internet Explorer oder Firefox zu öffnen. Die Dokumente nutzen dabei Sicherheitslücken im Adobe Reader, Adobe Acrobat Professional, 3D und Standard vor den Versionen 8.1.2 aus. Auch die Version 7 ist betroffen, hier gibt es derzeit noch kein Update.

Bereits vergangene Woche gab es Gerüchte, dass erste Webseiten versuchen würden, die PCs von Besuchern zu infizieren. Unklar war zu diesem Zeitpunkt, über welche Lücken dies geschehen sollte, da der Hersteller keine Informationen über die Schwachstellen veröffentlichte und erst Tage nach Herausgabe der korrigierten Fassung 8.1.2 eine Warnung über kritische Lücken nachschob.

Mittlerweile liegen genauere Informationen unabhängiger Dienstleister wie iDefense und Tipping Point vor. Deren Berichten zufolge beruhen die Probleme unter anderem auf der fehlerhaften Implementierung von JavaScript im EScript-Plug-in des Readers. Durch eine unsichere Methode ist der Low-Level-Zugriff auf Objekte möglich, wodurch sich Schadcode ausführen lässt. Abhilfe schafft es, JavaScript in den Produkten zu deaktivieren. Das soll laut iDefense auch vor mehreren Buffer Overflows in anderen JavaScript-Methoden schützen, durch die es ebenfalls möglich ist, Schadcode auf einem System auszuführen. Über die genaue Zahl der Pufferüberlaufe macht iDefense keine Angaben, die Exploits sollen aber genau diese Fehler ausnutzen. Adobe wurde bereits im Oktober über die Lücken informiert.

Zudem gibt es eine Schwachstelle im Reader beim Laden der "Security Provider"-Bibliothek für Kryptographie. Offenbar überprüft der Reader die Pfade nicht richtig und lädt beliebige Dateien, die den Namen der Bibliothek tragen aus dem aktuellen Verzeichnis. Sofern ein Angreifer das Verzeichnis unter seiner Kontrolle hat, etwa auf einem SMB- oder WebDAV-Server, kann er seinem Opfer Schadcode unterjubeln.

Die ersten präparierten PDF-Dokumente sollen schon am 19. Januar in einem italienischen Forum aufgetaucht sein. Beim Öffnen des Dokumentes lud ein eingebettetes Skript eine Variante des Zonebac-Trojaners von einer IP-Adresse in den Niederlanden nach. Zudem sollen präparierte Banner versucht haben, die PDF-Dateien an Anwender zu verteilen. Der Trojaner soll mit den Servern doginhispen.com und skitodayplease.com Kontakt aufnehmen.

Die Erkennungsrate der präparierten Dokumente durch Virenscanner ist derzeit noch ziemlich bescheiden. Bei zwei von drei heise Security vorliegenden Exemplaren erkannten gerade einmal F-Secure, McAfee, Microsoft, Norman und Symantec den unter anderem W32.Pidief genannten Exploit. Anwender sollten so schnell wie möglich auf die Version 8.1.2 von Adobe Reader oder Adobe Acrobat wechseln.

Quelle : www.heise.de

[SiLæncer]

 Adobe weist auf eine kritische Schwachstelle im Adobe Flash Player für Linux hin. Die Versionen für Windows und Mac sind nicht von dem Problem betroffen. Über präparierte SWF-Dateien ist es Angreifern nach Angaben des Herstellers möglich, ein Linux-System unter ihre Kontrolle zu bringen. Vermutlich muss das Opfer dazu allerdings mit Root-Rechten arbeiten. Nähere Angaben zur Ursache des Problems macht Adobe nicht.

Betroffen sind die Linux-Versionen 10.0.12.36 und vorherige sowie 9.0.151.0 und vorherige. Adobe empfiehlt Anwendern, auf die korrigierte Version 10.0.15.3 zu wechseln. Für Anwender, die nicht auf Version 10 wechseln können, steht das Update 9.0.152.0 zur Verfügung. Auf einigen Systemen läuft die Version 10 nämlich nach Angaben von Adobe aus technischen Gründen nicht. Ursprünglich hatte Adobe geplant, die 9er-Serie nicht weiter zu unterstützen. In beiden Fällen ist unter Linux in der Regel der manuelle Download und die manuelle Installation notwendig.

Siehe dazu auch:

    * Security update available for Linux Flash Player 10.0.12.36 and Linux Flash Player 9.0.151.0, Fehlerbericht von Adobe

Quelle : http://www.heise.de/newsticker/Kritische-Luecke-in-Linux-Version-des-Flash-Players--/meldung/120638

[SiLæncer]

Adobe warnt vor einer kritischen Lücke in Adobe Reader und Acrobat für alle Betriebssysteme, die sich ausnutzen lässt, um einen Rechner mit Schädlingen zu infizieren. Einen Patch oder ein Update zum Schließen der Lücke in den 9er-Versionen plant der Hersteller nach eigenen Angaben allerdings erst für den 11. März zu veröffentlichen, obwohl Angreifer den Fehler bereits aktiv ausnutzen. Updates für die Version 7 und Version 8 sollen dann etwas später folgen.

Für einen erfolgreichen Angriff muss das Opfer aber eine präparierte PDF-Datei öffnen. Nach Angaben der Shadowserver Foundation, einem Zusammenschluss mehrerer Sicherheitsspezialisten, die Botnetze, Malware und Phishing-Aktivitäten beobachten, soll aber das Abschalten von JavaScript in Adobe Reader oder Acrobat verhindern, dass sich die Lücke ausnutzen lässt. Dazu muss man unter Bearbeiten/Grundeinstellungen/Javacript das Häkchen von der Option "Acrobat JavaScript aktivieren" entfernen.

Einige Hersteller von Antivirensoftware erkennen den Zero-Day-Adobe-Exploit schon als Trojan.Pidief und blockieren ihn. Symantec hat offenbar bereits seit dem 12. Februar eine Signatur zum Schutz vor dem Exploit, stuft die Bedrohung aber als niedrig ein. Der Exploit soll aktuell auch nur in gezielten Attacken zum Einsatz kommen. Das ändert sich aber Erfahrungsgemäß recht schnell, sodass vermutlich bald präparierte PDF-Dokumente auf Webseiten auftauchen dürften.

Worauf die Lücke genau beruht, ist nicht bekannt. Nach Angaben der Spezialisten von Shadowserver nutzt der Exploit Heap Spraying, um zunächst den Schadcode im Speicher zu verteilen und später anspringen zu können. Da er dafür JavaScript verwendet, hilft als Workaround das Abschalten von JavaScript.

Siehe dazu auch:

    * When PDFs Attack - Acrobat [Reader 0-Day On the Loose], Bericht von Shadowserver
    * overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat, Warnung von Adobe

Quelle : http://www.heise.de/newsticker/Zero-Day-Luecke-in-Adobe-Reader-und-Acrobat--/meldung/133225

[SiLæncer]

Adobe warnt vor einer kritischen Lücke im Flash Player. Über sie könnte beispielsweise eine manipulierte Web-Seite den Rechner mit Schadsoftware infizieren. Betroffen sind die bislang aktuellen Versionen Adobe Flash Player 10.0.12.36 und frühere. Auch die Linux-Version (aktuell 10.0.15.3) ist anfällig.

Der Hersteller stellt Updates bereit, deren Installation beim routinemäßigen Update-Check des Flash-Player auch vorgeschlagen wird. Dummerweise findet der standardmäßig nur alle 30 Tage statt -- und so lange werden sich die kriminellen Banden kaum Zeit lassen. Deshalb sollte man das Update auf Adobe Flash Player Version 10.0.22.87 möglichst bald manuell durchführen. Anschließend kann man im Settings Manager das Check-Intervall auf das aktuelle Minimum von 7 Tagen einstellen. Denjenigen, die noch nicht auf Version 10 können, bietet Adobe auch ein Update zur Vorgängerversion 9 an.

Für das letzte Woche bekanntgewordene Sicherheitsproblem in Adobe Reader und Acrobat, gibt es keine Neuigkeiten. Auf den Adobe-Seiten steht weiterhin als Termin für einen Patch der 11. März. Dabei wird die Sicherheitslücke bereits aktiv ausgenutzt; amerikanische Medien zitieren den Hersteller von Intrusion Detection Systemen Sourcefire damit, er habe passenden PDF-Exploit-Code gefunden, der auf den 9. Januar datiert ist.

Überhaupt glänzt Adobe nicht gerade durch schnelle Reaktionen auf Sicherheitsprobleme. iDefense hat nach eigenen Angaben die Flash-Lücke bereits August 2008 an Adobe gemeldet. Außerdem fallen Adobe-Produkte in letzter Zeit gehäuft als potentielles Sicherheitsrisiko auf. Da die bislang bekannten PDF-Exploits auf eingebettetes JavaScript setzen, sollten Anwender bis Adobe einen Patch liefert, vorbeugend in den Adobe-Reader-Einstellungen "Adobe JavaScript" ausschalten.

Update:
Der Sicherheitsdienstleister Secunia weist darauf hin, dass sich die Lücke auch ohne JavaScript ausnutzen lässt. Den Secunia-Experten sei es sogar gelungen, einen voll funktionsfähigen Exploit zuschreiben, der ganz ohne JavaScript auskommt. Damit bleibt zum Schutz eigentlich nur noch der Umstieg auf alternative PDF-Reader. [2. Update Die können zwar grundsätzlich auch verwundbar sein, es ist jedoch recht unwahrscheinlich, dass die verbreiteten Exploits dort mehr als einen Absturz verursachen. Wer ganz auf Nummer sicher gehen will, sollte auf die Nutzung von PDF-Dateien aus externen Quellen vorerst verzichten und PDF-Erweiterungen im Browser deaktivieren.]

Siehe dazu auch

    * Flash Player update available to address security vulnerabilities
    * Adobe Flash Player Invalid Object Reference Vulnerability

Quelle : www.heise.de

[SiLæncer]

Neue Versionen des PDF-Reader Foxit beheben drei Sicherheitslücken. Eine davon beruht auf einem Buffer Overflow und lässt sich zum Einschleusen und Ausführen von Code missbrauchen. Dazu genügt es, dass ein Opfer ein präpariertes PDF-Dokument mit einer verwundbaren Foxit-Version öffnet. Der Fehler ist in der Version 3 zu finden und beruht auf der Verarbeitung von zu langen Dateinamen als Argument.

Außerdem führt die Verarbeitung manipulierter JBIG2-Kompressionstabellen dazu, dass für Zeiger Werte aus nichtinitalisiertem Speicher geladen werden, was sich möglicherweise ebenfalls zum Ausführen von Schadcode ausnutzen lässt. Betroffen sind die Versionen 2.3 und 3.0.

Zudem verhindern präparierte PDF-Dokumente, dass Warndialoge bei bestimmten Aktionen erscheinen. In Foxit 3.0 Build 1506 und 2.3 Build 3902 sind die Fehler nicht mehr zu finden.

Für den Adobe Reader und Acrobat soll erst am kommenden Mittwoch ein Sicherheits-Update erscheinen, das eine seit dem 12. Januar bekannte Schwachstelle ausnutzt.

Quelle : www.heise.de

[SiLæncer]

Adobe hat für den weit verbreiteten Adobe Reader ein Update bereit gestellt. Adobe Reader 9.1 ist das lange erwartete Sicherheits-Update, das eine ernste Sicherheitslücke schließen soll.

Im Adobe Reader wurde im Februar 2009 eine Schwachstelle entdeckt, die bereits für gezielte Angriffe ausgenutzt wird. Durch die Lücke kann eingeschleuster Code zur Ausführung gelangen, durch den ein Angreifer die Kontrolle über das System erlangen kann. Betroffen sind alle Versionen von Adobe Reader und Acrobat, einschließlich der aktuellen Versionen 9.0 und 8.1.3. Das fast 28 MB große Update sollte also schleunigst aufgespielt werden.

Diese Lücke hat Adobe für die aktuelle Reader-Generation mit dem Adobe Reader 9.1 jetzt geschlossen. Für ältere Versionen von Adobe Reader ( 7 und 8 ) sollen am 18. März Updates folgen. Adobe empfiehlt allerdings ohnehin allen Anwendern auf Adobe Reader 9xx umzusteigen. Gleichzeitig schloss Adobe auch die entsprechende Sicherheitslücke in Adobe Acrobat 9, wie man dem Sicherheits-Bulletin entnehmen kann.

Adobe Reader 9.1 steht derzeit nur für Windows und MacOS zum Download bereit, Linux-Anwender müssen sich noch etwas gedulden, Adobe will die Version 9.1 am 25. März für Linuxsysteme herausbringen.

Quelle und Links : http://www.pcwelt.de/start/sicherheit/sicherheitsluecken/news/195070/adobe_schliesst_ernste_sicherheitsluecke/

[SiLæncer]

Adobe hat wie angekündigt eine Woche nach dem Adobe Reader 9.1 auch für die älteren Versionen 8.x/7.x Sicherheits-Updates bereit gestellt. Sie beseitigen eine als kritisch eingestufte Schwachstelle, die bereits für Angriffe ausgenutzt wird.

Im Februar wurde bekannt, dass in allen Version von Adobe Reader und Acrobat eine Sicherheitslücke steckt, die von Angreifern bereits aktiv ausgenutzt wird. Am 11. März hat Adobe die Schwachstelle im Adobe Reader 9 beseitigt und die Version 9.1 bereit gestellt. Eine Woche später stehen nun auch korrigierte Fassungen der älteren Produktgenerationen 8.x/7.x zur Verfügung. Wer Adobe Reader 9.1 nicht einsetzen kann oder will, kann jetzt auf die Version 8.1.4 oder 7.1.1 ausweichen.

Zusammen mit den neuen Programmversionen hat Adobe auch jeweils ein Security Bulletin veröffentlicht. Im Bulletin APSB09-03 geht es um Adobe Reader 9, im Bulletin APSB09-04 um die Versionen 7 und 8. Beide betreffen die gleiche Schwachstelle, die es einem Angreifer ermöglicht mit speziell präparierten PDF-Dateien ein Trojanisches Pferd einzuschleusen.

Adobe hatte zunächst empfohlen, Anwender sollten Javascript im Reader deaktivieren, um sich vor solchen Angriffen zu schützen. Sicherheitsforscher haben inzwischen jedoch gezeigt, dass sich die Sicherheitslücke auch ohne Javascript ausnutzen lässt. Die bislang im Feld beobachteten Angriffe verwenden allerdings Javascript.

Adobe Reader und Acrobat 8.1.4 sowie 7.1.1 für Windows und Mac OS X sollen ab sofort zum Download bereit stehen. Für Unix hat Adobe die Verfügbarkeit der Versionen 9.1 sowie 8.1.4 für den 24. März angekündigt.

Quelle und Links : http://www.pcwelt.de/start/sicherheit/sicherheitsluecken/news/195478/adobe_reader_814_711_erhaeltlich/

[SiLæncer]

Im Rahmen der RSA-Sicherheitskonferenz, die momentan in San Francisco stattfindet, haben die Sicherheitsexperten von F-Secure von der Nutzung des Adobe Reader abgeraten. Anwender sollten stattdessen auf alternative PDF-Reader setzen.

Wie Mikko Hypponen, Chief Research Officer bei F-Secure gestern erklärte, ist der Adobe Reader allein in diesem Jahr das Opfer von mehr als 47 Prozent aller zielgerichteten Angriffe aus dem Internet gewesen. Diese würden bislang ungepatchte Schwachstellen in der Software ausnutzen, so Hypponen.

Gefahren für die Anwender gehen dem Sicherheitsexperten zufolge nicht nur von mit Schadcode versehenen PDF-Dateien aus, sondern auch von dem PDF-Browser-Plug-in. Dieses würde immer häufiger für sogenannte "Drive-by-Downloads" missbraucht, bei denen Schadcode unbemerkt auf den Rechner heruntergeladen wird, während man im Internet surft.

Während F-Secure in der Zeit vom 1. bis 16. April 2008 etwa 128 entsprechend präparierte PDF-Dateien für ausfindig gemacht hat, liegt die Zahl der verseuchten Dateien in diesem Jahr bereits bei mehr als 2.300 Stück. Dem Software-Hersteller selbst rät Hypponen, die Sicherheit der Nutzer ernster zu nehmen.

Dabei erklärte er, dass sich Adobe eine Scheibe von den Entwicklern bei Microsoft abschneiden könnte, die mit ihren monatlichen Patch-Days regelmäßig Sicherheitslücken in ihren Produkten schließen. Eine Produktempfehlung als Alternative zum Adobe Reader wollte Hypponen nicht nennen.

http://winfuture.de