Thema: Patchday bei Adobe

[SiLæncer]

Nach Angaben mehrerer Antivirenhersteller verbreitet sich ein Exploit zum Ausnutzen der am Wochenende gemeldeten, ungepatchten Lücke in Adobes Flash Player und dem Reader immer schneller. Erste Webseiten nutzen den Exploit bereits für Angriffe aus. Die Schwachstelle betrifft den Flash Player 10.0.45.2 und frühere Versionen sowie die zusammen mit dem Reader und Acrobat 9.x ausgelieferten Bibliothek authplay.dll.

Der Exploit beruht mehreren unabhängigen Analysen zufolge auf einer in ActionScript geschriebenen Flash-Demo zur Implementierung des Verschlüsselungsalgorithmus AES. Im Exploit wurde nur eine einzige Zeile (getproperty gegen newfunction) ersetzt, die allerdings den ActionScript-Stack durcheinander bringt. Dadurch lässt sich offenbar zusätzlicher (x86-)Code über den Just-In-Time-Compiler des Flash Player in den Speicher des PCs schreiben und starten. Eine detaillierte Analyse des Exploits gibt es hier: A brief analysis of a malicious PDF file which exploits this week’s Flash 0-day

Manipulierte Webseiten versuchen über den Exploit Programme zu starten, die weitere Schädlinge aus dem Netz nachladen, darunter Backdoors und Trojaner. Adobe hat für den heutigen Donnerstag, den 10. Juni, ein Update für den Flash Player angekündigt. Das Update für den Adobe Reader und Acrobat soll am 29. Juni erscheinen, also zwei Wochen vor dem regulären, alle drei Monate stattfindenden Termin.

Bis zum Update empfiehlt Adobe Nutzern von Reader und Acrobat 9, die Datei authplay.dll zu löschen, umzubenennen oder zu verschieben. Allerdings führt das laut Hersteller zu einem Programmabsturz beim Öffnen einer PDF-Datei mit Flash-Inhalten. Unter Windows liegt die Datei typischerweise in C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll beziehungsweise C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll.

Nach Meinung des US-CERT laufen Angriffe auch dann ins Leere, wenn man JavaScript im Reader deaktiviert und unter Windows die Datenausführungsverhinderung aktiviert.

Quelle : www.heise.de

[SiLæncer]

Wie bereits vor zwei Wochen angedeutet, hat Adobe nun für den kommenden Dienstag, den 29. Juni die Sicherheits-Updates für den Reader und Acrobat offiziell angekündigt. Sie sollen neben der seit Anfang Juni bekannten Lücke in der mit dem Reader und Acrobat ausgelieferten Bibliothek authplay.dll noch weitere schließen. Wie viele dies genau sind, gibt Adobe nicht an, es soll sich aber ebenfalls um kritische Lücken handeln. Die Updates erscheinen für Windows, Mac und Unix (bei Acrobat nur für Windows und Mac) jeweils für die Versionen 9.3.3 und 8.2.3.

Adobe gibt damit die Updates zwei Wochen vor dem regulären, alle drei Monate stattfindenden Termin heraus. Damit geht Adobe einen Kompromiss ein, um die ursprünglich aus dem Flash Player herrührende Lücke schnell zu schließen und trotzdem die bislang noch nicht veröffentlichen Lücken zu beseitigen. Andernfalls hätte der Hersteller innerhalb weniger Wochen zwei Updates veröffentlicht, was laut Adobe für größere Unternehmen mit Patch-Management zu viel Aufwand bedeutete.

Die Lücke wird zumindest im Flash Player bereits aktiv von Webseiten zur Infektion der PCs von Besuchern ausgenutzt, sofern Anwender noch nicht die aktuelle Version 10.1 installiert haben.

Quelle : www.heise.de

[SiLæncer]

Adobe hat die Updates 9.3.3 und 8.2.3 für Reader und Acrobat veröffentlicht, die 17 Lücken schließen. Alle Lücken lassen sich nach Angaben von Adobe zum Einschleusen und Ausführen von Code missbrauchen. Dazu genügt bereits der Besuch eine präparierten Webseite mit einem verwundbaren Reader-Plug-in.

Zu den Lücken gehört der Fehler in der Bibliothek authplay.dll zum Abspielen eingebetteter Flash-Inhalte. Adobe hat sich zudem nach fast drei Monaten durchgerungen, Angreifern das Ausnutzen der /launch-Funktion zum Starten von Code zu erschweren. Die Funktion ist Bestandteil der PDF-Spezifikation, um eingebettete Skripte oder EXE-Dateien zu starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Bislang stand der Hersteller auf dem Standpunkt, dass es sich eigentlich um eine nützliche Funktion handele, die nur durch den falschen Umgang zum Problem werde.

Künftig ist die Funktion "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" jedoch standardmäßig abgeschaltet. Zudem zeigen die Warndialoge nun nicht mehr vom Angreifer übergebene Parameter an, die den Anwender verwirren können, sondern nur noch, welche Anwendung gestartet wird. Foxit hatte seinen Warndialog diesbezüglich bereits vor mehreren Wochen überarbeitet.

Daneben hat Adobe in seinem Blog angekündigt, ab Mitte Juli nur noch vollständig gepatchte Versionen im Downloadcenter anzubieten. Bislang waren jeweils nur die Major-Versionen (beispielsweise 9.3) zum Download verfügbar, die nach der Installation weitere Patches (etwa auf 9.3.3) nachluden. Der Hersteller zeigt sich zudem erfreut über die Wirkung seines im Reader und Acrobat 9.3.2 eingeführten automatischen Updates. Anwender würden mit der neuen Funktion Updates dreimal schneller installieren als zuvor. Standardmäßig lädt der Updater eine Aktualisierung herunter und fragt beim Anwender nach, ob er sie installieren soll. Er lässt sich aber auch so konfigurieren, dass er ohne Nutzerinteraktion verfügbare Updates einspielt (Silent Update).

Quelle : www.heise.de

[SiLæncer]

Der mit dem Update 9.3.3 im Reader und Acrobat eingeführte Schutz vor Angriffen über die /launch-Aktion ist lückenhaft, wie der Sicherheitsdienstleister BKIS in seinem Blog festgestellt hat. Setzt man in PDF-Dokumente eingebettete Befehle in doppelte Anführungszeichen, so lässt sich der Schutz austricksen und das Programm startet – jedoch erst nach Bestätigung eines Warndialoges.

Weil nach Angaben von Adobe viele Kunden die Funktion für ihre Unternehmenslösungen benötigen, hatte der Hersteller eine Blacklist verbotener Anwendungen (darunter .exe, bat und viele andere) integriert, statt die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" komplett zu deaktivieren. Mit der Blacklist soll der Reader grundsätzlich alle bösartigen Aufrufe blockieren, egal wie diese Option gesetzt ist.

Offenbar arbeitet die Blacklist-Funktion aber äußerst simpel und lässt sich austricksen, wenn man die Befehle in Anführungszeichen setzt (/F("cmd.exe"). In der Folge springt der Filter nicht an und der Reader versucht den Befehl auszuführen – sofern die Option "Nicht-PDF-Dateianlagen dürfen..." noch aktiv ist. Adobe selbst gibt zu, dass die Blacklist-Lösung nicht perfekt ist und sich austricksen lässt. Sie verringere aber das Angriffsrisiko, ohne die Workflows in Firmen zu stören.


Der eigentliche Dreh und Angelpunkt: Ist diese Funktion deaktiviert, lässt sich die /launch-Funktion in keinem Fall missbrauchen.

Für Heimanwender lässt sich das Problem lösen, indem sie die Funktion unter der Option "Bearbeiten/Voreinstellungen/Berechtigungen" abschalten. Anwender in Unternehmen, bei denen dies nicht möglich ist, können die Blacklist von Adobe manuell erweitern. Der Entdecker der /launch-Lücke Didier Stevens schlägt in seinem Blog vor, der Liste unter HKLM\SOFTWARE\Policies\Adobe\product\version\FeatureLockDown\cDefaultLaunchAttachmentPerms  einfach ein .exe”:3 hinten anzustellen, damit zumindest der Aufruf von "cmd.exe" in Dokumenten fehlschlägt.

Es bleibt festzuhalten, dass sich die Lücke nach dem Update mit den neuen Tricks nur noch ausnutzen lässt, wenn der Anwender allzu sorglos die Dialoge wegklickt, denn eine Warnung kommt auf jeden Fall. Und seit dem Update auf 9.3.3 können die Dialoge auch nicht mehr in die Irre führen.

Quelle : www.heise.de

[ritschibie]

Die Funktion war bei mir standardmäßig aktiviert...jetzt nicht mehr...da muss man erstmal darauf kommen! Die sollten das von Hause aus deaktivieren und dann kann ja jeder, der es braucht, das aktivieren sollte er es doch brauchen. Denke mal, der Normal-User braucht das nicht (executables in einer pdf-Datei ausführen lassen)!

[Jürgen]

Ich frage mich gerade, ob auf solche Art auch externe Grafiken oder (andere) Webseitenbestandteile automatisch eingebunden werden könnten.

Für mich ist das Ganze ein gequirlter Blödsinn, denn Sinn von PDF(-Viewern) ist ja gerade die plattformübergreifende und dennoch verbindliche Verfügbarmachung von Dokumenten.
Und ausführbare Dateien stehen dazu im krassen Widerspruch.

Hinzu kommt, dass auch immer mehr Behörden PDF verwenden und damit den Bürger zwingen, das Format zu akzeptieren. Als Beispiel denke man an die ElStEr.

Fazit:
Produkte von Adobe kommen für mich als Standard-Applikation für PDF schon lange nicht mehr infrage.
Auch und gerade nicht als Browser-Plugin. Hier ist statt dessen als Standardvorgang zudem stets "speichern unter..." eingetragen.

Jürgen

[SiLæncer]

Fazit:
Produkte von Adobe kommen für mich als Standard-Applikation für PDF schon lange nicht mehr infrage.

Für mich auch schon lange nicht mehr ...Alternativen gibts ja nun wirklch genug    --> Klick

[SiLæncer]

Wie bereits Ende Juni angekündigt, bietet Adobe den Reader nun nur noch in einer vollständig gepatchten Version im Downloadcenter an. Bislang waren jeweils nur die Major-Versionen (beispielsweise 9.3) zum Download verfügbar, die nach der Installation weitere Patches (etwa auf 9.3.3) nachluden. Die nachträgliche Patcherei entfällt nun. Aktuell wird gleich die Version 9.3.3 zum herunterladen angeboten.

Adobe reagiert damit auf die Kritik von Sicherheitsspezialisten, dass gerade heruntergeladene und installierte Version des Reader verwundbar waren. Weil aber neben dem Flash-Plug-in für den Browser auch das Reader-Plug-in eines der größten Einfallstore darstellt, brachte Adobe seine Anwender damit unnötig in Gefahr.

Man muss aber mittlerweile anerkennen, dass Adobe einige Anstrengungen unternommen, um für mehr Sicherheit zu sorgen. Neben regelmäßigen Updates (und zur Not auch außerplanmäßig) hat der Hersteller einen Secure Product Lifecycle (SPLC) eingeführt, um seinen Code gezielt auf Schwachstellen zu untersuchen und diese zu schließen. Bis Mitte 2009 veröffentlichte Adobe seine Sicherheits-Updates nur beim Bekanntwerden von Sicherheitslücken. Daneben hat Adobe die Update-Funktion des Reader erheblich verbessert. Auf Wunsch kann er verfügbare Updates ohne Nachfrage herunterladen und installieren (Silent Update).

Quelle : www.heise.de

[SiLæncer]

Adobe hat Patches für die Produkte Flash  Player sowie Flash Media Server veröffentlicht, um darin befindliche Sicherheitslücken zu schließen. Fünf Sicherheitslücken im Flash Player können zur Ausführung von Schadcode missbraucht werden. Für Coldfusion hat Adobe einen Hotfix veröffentlicht.

Im Flash Player 10.1 wurden insgesamt sechs Sicherheitslücken entdeckt. Fünf dieser Sicherheitslöcher können zur Ausführung von Schadcode missbraucht werden. Opfer müssen dazu nur etwa zum Aufruf einer Flash-Webseite verleitet werden. Das sechste Sicherheitsleck kann für Clickjacking-Attacken missbraucht werden. Hierbei werden Anwender beim Klick auf ein Element ausgetrickst, so dass der Nutzer auf etwas klickt, was er eigentlich nicht öffnen will.

Die vier Sicherheitslücken im Flash Media Server 3.0.5 sowie 3.5.3 sind weniger gefährlich, nur ein Sicherheitsleck kann zur Ausführung von Schadcode missbraucht werden. Mit Hilfe der übrigen drei Sicherheitslöcher können Denial-of-Service-Attacken durchgeführt werden.

Zudem beseitigt Adobe ein Sicherheitsloch in Coldfusion 8.0, 8.0.1, 9.0 sowie 9.0.1, das zum Ausspähen vertraulicher Informationen missbraucht werden kann.

Der Flash Player 10.1.82.76 steht für Windows, Linux und Mac OS X als Download zur Verfügung und soll die beschriebenen Sicherheitslücken beseitigen. Zudem bringt der aktuelle Flash Player für Mac OS X eine hardwarebeschleunigte Wiedergabe von H.264-Videos. Mit dem Update auf den Flash Media Server 3.0.6 sowie 3.5.4 für Windows und Linux werden die darin befindlichen Sicherheitslücken geschlossen.

Der Hot Fix für Coldfusion 8 und 9 kann über das entsprechende Supportdokument für Windows, Linux und Mac OS X heruntergeladen werden. Das Dokument erklärt auch die Einspielung des Updates.

Quelle : www.golem.de

[SiLæncer]

Adobe veröffentlicht erst am 19. August 2010 einen Sicherheitspatch für den Adobe Reader und für Acrobat. Der außerplanmäßige Patch wurde bereits für diese Woche angekündigt, ein genaues Datum war aber noch nicht bekannt.

Mit dem Patch für den Adobe Reader und für Acrobat will der Hersteller ein Sicherheitsleck beseitigen, das Anfang August 2010 auf der US-Sicherheitskonferenz Black Hat enthüllt wurde. Das Sicherheitsloch wird als gefährlich eingestuft, denn Angreifer können darüber beliebigen Programmcode auf fremden Systemen ausführen. Der Patch war bereits für diese Woche angekündigt, aber nun wird es Ende der Woche, bis der Fehler korrigiert wird.

Nach Adobes Erkenntnissen wird das Sicherheitsleck bislang nicht aktiv ausgenutzt. Möglicherweise beseitigt der Patch noch weitere Sicherheitslücken in den PDF-Produkten Reader und Acrobat. Denn Adobe spricht davon, dass mehrere Sicherheitsprobleme behandelt werden, ohne weitere Details zu nennen.

Das eine Sicherheitsloch von der Black-Hat-Konferenz betrifft den Adobe Reader 8.2.3 und 9.3.3 sowie Acrobat 8.2.3 und 9.3.3 auf allen verfügbaren Plattformen. Der nächste reguläre Patchday von Adobe ist eigentlich der 12. Oktober 2010.

Quelle : www.golem.de

[SiLæncer]

Adobe hat heute einen außerplanmäßigen Patch für den PDF-Reader sowie Acrobat veröffentlicht. Damit wird eine kritische Sicherheitslücke beseitigt, die auf der Sicherheitskonferenz Black Hat Anfang August 2010 enthüllt wurde.

Durch das Öffnen eines speziell manipulierten PDF-Dokuments kann beliebiger Code ausgeführt werden, so dass Schadsoftware auf das betroffene System gelangt. Beim Schließen dieser einen Sicherheitslücke bleibt es nicht. Mit dem Patch auf Version 9.3.4 werden auch gleich noch weitere Sicherheitsprobleme beseitigt, heißt es im Security Bulletin.

Adobe betont, dass man derzeit keine Kenntnis über die Ausnutzung der jetzt geschlossenen Sicherheitslücken hat. Der nächste planmäßige Patch-Day findet man 12. Oktober statt und soll weitere Sicherheitsupdates bringen.

Sämtliche Updates können wie immer über die Update-Funktion im Reader und Acrobat eingespielt werden. Adobe bietet weiterhin nur die fehleranfällige Version 9.3.3 vom Reader zum Download an. Das Update kann dann separat über die entsprechenden Links im Security Bulletin heruntergeladen werden.


Quelle : http://winfuture.de

[SiLæncer]

Adobe hat seinen Shockwave Player auf Version 11.5.8.612 aktualisiert und schließt damit wieder einmal zahlreiche  Sicherheitslücken, von denen Angreifer mindestens 18 zum Einschleusen von Schadcode missbrauchen können. Ursache für die meisten Schwachstellen sind Speicherfehler in diversen Funktionen. Betroffen sind alle Versionen bis 11.5.7.609 für Windows und Mac OS.

Der Shockwave Player klinkt sich als Plugin in den Browser ein und dient der Darstellung komplexer Webanwendungen wie etwa Spielen. Die meisten Anwender haben nur den leichtgewichtigeren Adobe Flash Player installiert. Ob Shockwave installiert ist, kann man auf Adobes Testseite herausfinden.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheitsexperten von Kaspersky warnen vor einer neuen Sicherheitslücke in Adobe Reader und Acrobat, die bereits aktiv ausgenutzt wird.

Kaspersky hat eine Sicherheits-Anweisung zur Verfügung gestellt, die auf eine Schwachstelle in Adobe Reader und Acrobat hinweist. Es handle sich um eine bisher unbekannte Sicherheitslücke, die bereits aktiv ausgenutzt wird. Die meisten PDF-Angriffe haben den Schadcode implementiert. Die 0-Day-Lücke funktioniert leicht anders. Das PDF versucht eine ausführbare Datei in das %temp%-Verzeichnis zu kopieren und diese dann zu starten.

Das Interessante an der Sache ist, dass die ausführbare Datei mit einem gültigen Zertifikat von einer US-basierten Kreditanstalt (Vantage Credit Union) signiert ist. Das bedeutet, dass die Cyberkriminellen im Besitz des privaten Schlüssels sind. Kaspersky hat sowohl Verisign als auch Vantage Credit Union informiert, um entsprechende Schritte einzuleiten.

Quelle : www.tecchannel.de

[SiLæncer]

Microsoft hat am Freitag eine Anleitung veröffentlicht, wie man mithilfe des Enhanced Mitigation Experience Toolkit (EMET) die kürzlich bekannt gewordenen Zero-Day-Lücke des Acrobat Reader blockieren kann. Adobe selbst hat bislang keinen Patch veröffentlicht, verwies aber auf seiner Website  kurzfristig auf die entsprechende Microsoft-Anleitung. Da man diese aufgrund der "zeitkritischen Natur" nur begrenzt habe testen können, empfiehlt Adobe weitere Tests in der eigenen Arbeitsumgebung.

Adobe bezeichnet die Sicherheitslücke (CVE-2010-2883) als kritisch. Sie könne zu Systemabstürzen führen und ermögliche es Angreifern, die Kontrolle infizierter Systeme zu übernehmen. Außerdem gebe es bereits erste Berichte, dass diese Sicherheitslücke aktiv ausgenutzt werde. So hatte Trend Micro am vergangenen Donnerstag gemeldet, entsprechend infizierte Dateien gefunden zu haben. Betroffen sind der Adobe Reader und Adobe Acrobat in der zurzeit aktuellen Version 9.3.4 für Windows, Mac und Unix, sowie frühere Versionen.

Quelle : www.heise.de

[SiLæncer]

Adobe warnt  vor einer weiteren ungepatchten Lücke, die sowohl im Flash Player als auch im Reader (sowie Acrobat) zu finden ist und von Angreifern bereits zur Infektion von Windows-Systemen ausgenutzt wird. Erst vergangene Woche warnte  Adobe vor einer anderen Lücke im Reader, die Kriminelle ebenfalls zur Verbreitung von Malware auf Windows-Systemen missbrauchen.

Bei der Lücke im Flash Player wird neben Windows, Mac OS X und Linux auch erstmals Android als betroffene Plattform aufgeführt. Konkret sind laut Adobe der Flash Player 10.1.82.76 für Windows, Mac OS X und Linux, Flash Player 10.1.92.10 für Android sowie Adobe Reader und Acrobat 9.3.4 für alle jeweils unterstützen Plattformen betroffen. Laut Hersteller wird bislang nur beim Flash Player versucht, die neue Lücke auszunutzen.

Ein Update für den Flash Player ist für den 27. September geplant, die Aktualisierung für den Reader und Acrobat soll dann am 4. Oktober folgen. Zumindest was die Verarbeitung von PDFs angeht, können Anwender bis dahin auf alternative Viewer ausweichen oder Schutzmaßnahmen ergreifen. Die können beispielsweise darin bestehen, JavaScript im Reader abzuschalten. Zwar steckt die Lücke nicht in JavaScript selbst, die kursierenden Exploits nutzen es aber dennoch.

Daneben lassen sich mit Microsofts Enhanced Mitigation Experience Toolkit (EMET) die Auswirkungen von Exploits begrenzen. Adobe hat dies als mögliche Abwehrmaßnahme am Wochenende empfohlen. EMET aktiviert verschiedene Schutzfunktionen in fertigen Binaries wie die Datenausführungsverhinderung (DEP) und die Speicherverwürfelung (ASLR). Zwar ist der vergangene Woche aufgetauchte Reader-Exploit in der Lage, DEP und ASLR auszutricksen, EMET bringt aber weitere Funktionen mit, wie Export Address Table Access Filtering (EAF) zum Blocken der Zugriffe von eingeschleustem Shellcode auf bestimmte APIs. EMET versucht auch sogenanntes Heap-Spraying zu unterbinden.

Damit kann EMET den Exploit auch auf Windows-XP-Systemen wirkungslos machen, obwohl diese gar kein ASLR unterstützen. In einem kurzen Test konnte heise Security bestätigen, dass der Exploit unter Windows XP mit einem EMET-geschütztem Reader 9.3.4 nicht mehr funktioniert. Ob EMET auch gegen den neuen Exploit und im Zusammenspiel mit dem Flash Player schützt, müssen weitere Tests zeigen. Eine Anleitung, wie man EMET installiert und konfiguriert, findet man im Blogeintrag "Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit" auf den Seiten des "Security Research & Defense"-Teams von Microsoft.

Quelle : www.heise.de