Trotz zunehmender Angriffe kein Update für Adobes Reader

[Dynamite]

Zwar wird die Lücke im Adobe Reader schon von ersten Webseiten zur Infektion von Windows-PCs ausgenutzt, dennoch will der Hersteller weiterhin keinen "Emergency Patch" vor dem 12. Januar 2010 veröffentlichen. Als Begründung gibt das Unternehmen an, dass andernfalls andere Lücken offen blieben.

Adobe will die Lücke erst im Rahmen des Updates am 12. Januar schließen, um nicht den ganzen Zeitplan durcheinander zu bringen. Würde man den Emergency Patch einschieben, müsste man den regulären, dreimonatigen Patch-Zyklus erweitern – womit dann andere, bislang unbekannte Lücke weitere Wochen ungepatcht blieben, erklärt Brad Arkin, Leiter der Produktsicherheit bei Adobe. Ob diese Lücken noch kritischer sind, als die bekannte, ist unbekannt. Beim letzten Patchday im Oktober hatte Adobe 29 Lücken im Reader geschlossen. Mit veröffentlichten Workarounds hat man aber nach Meinung des Herstellers zwei funktionierende Lösungen für das Problem.

Um bis zum 12. Januar nicht Opfer eines Angriffs zu werden, schlägt Adobe zumindest für Windows-Anwender das Anschalten der Datenausführungsverhinderung (DEP) oder das Abschalten von JavaScript im Reader oder Acrobat (Bearbeiten–>Voreinstellungen–>JavaScript) vor. Als Workaround-Alternative gibt Adobe zudem an, eine vom Hersteller zur Verfügung gestellte Windows-Registry-Datei einzuspielen, die einen Schlüssel erzeugt, der die verwundbare JavaScript-Funktion auf eine Blacklist setzt; diese lässt sich dann nicht mehr aufrufen. Das kommende Sicherheits-Update soll bei der Installation diesen Wert dann wieder zurücksetzen.

Der erste beobachtete Angriff einer Webseite auf Besucher ging von dem News-Portal timesunion.com aus, das Comic-Inhalte des Dienstleisters King Features einblendete. Laut Bericht waren Kriminelle in die Datenbank von King Features eingedrungen, um präparierte PDF-Dokumente einzuschleusen. Die automatisch an diverse Portale verteilten Dokumente gelangten dann auch auf die Seiten von timesunion.com. Wie die Kriminellen in die Datenbank gelangten, wird derzeit noch untersucht.

Quelle: Heise.de

[Dynamite]

Microsoft-Tool blockiert Angriffe auf Adobe-Reader-Lücke

Microsoft hat am Freitag eine Anleitung veröffentlicht, wie man mithilfe des Enhanced Mitigation Experience Toolkit (EMET) die kürzlich bekannt gewordenen Zero-Day-Lücke des Acrobat Reader blockieren kann. Adobe selbst hat bislang keinen Patch veröffentlicht, verwies aber auf seiner Website kurzfristig auf die entsprechende Microsoft-Anleitung. Da man diese aufgrund der "zeitkritischen Natur" nur begrenzt habe testen können, empfiehlt Adobe weitere Tests in der eigenen Arbeitsumgebung.

Adobe bezeichnet die Sicherheitslücke (CVE-2010-2883) als kritisch. Sie könne zu Systemabstürzen führen und ermögliche es Angreifern, die Kontrolle infizierter Systeme zu übernehmen. Außerdem gebe es bereits erste Berichte, dass diese Sicherheitslücke aktiv ausgenutzt werde. So hatte Trend Micro am vergangenen Donnerstag gemeldet, entsprechend infizierte Dateien gefunden zu haben. Betroffen sind der Adobe Reader und Adobe Acrobat in der zurzeit aktuellen Version 9.3.4 für Windows, Mac und Unix, sowie frühere Versionen. (keh)

Quelle: Heise.de

[Dynamite]

Angreifer nutzen weitere Zero-Day-Lücke in Adobe Flash und Reader

Adobe warnt vor einer weiteren ungepatchten Lücke, die sowohl im Flash Player als auch im Reader (sowie Acrobat) zu finden ist und von Angreifern bereits zur Infektion von Windows-Systemen ausgenutzt wird. Erst vergangene Woche warnte Adobe vor einer anderen Lücke im Reader, die Kriminelle ebenfalls zur Verbreitung von Malware auf Windows-Systemen missbrauchen.

Bei der Lücke im Flash Player wird neben Windows, Mac OS X und Linux auch erstmals Android als betroffene Plattform aufgeführt. Konkret sind laut Adobe der Flash Player 10.1.82.76 für Windows, Mac OS X und Linux, Flash Player 10.1.92.10 für Android sowie Adobe Reader und Acrobat 9.3.4 für alle jeweils unterstützen Plattformen betroffen. Laut Hersteller wird bislang nur beim Flash Player versucht, die neue Lücke auszunutzen.

Ein Update für den Flash Player ist für den 27. September geplant, die Aktualisierung für den Reader und Acrobat soll dann am 4. Oktober folgen. Zumindest was die Verarbeitung von PDFs angeht, können Anwender bis dahin auf alternative Viewer ausweichen oder Schutzmaßnahmen ergreifen. Die können beispielsweise darin bestehen, JavaScript im Reader abzuschalten. Zwar steckt die Lücke nicht in JavaScript selbst, die kursierenden Exploits nutzen es aber dennoch.

Daneben lassen sich mit Microsofts Enhanced Mitigation Experience Toolkit (EMET) die Auswirkungen von Exploits begrenzen. Adobe hat dies als mögliche Abwehrmaßnahme am Wochenende empfohlen. EMET aktiviert verschiedene Schutzfunktionen in fertigen Binaries wie die Datenausführungsverhinderung (DEP) und die Speicherverwürfelung (ASLR). Zwar ist der vergangene Woche aufgetauchte Reader-Exploit in der Lage, DEP und ASLR auszutricksen, EMET bringt aber weitere Funktionen mit, wie Export Address Table Access Filtering (EAF) zum Blocken der Zugriffe von eingeschleustem Shellcode auf bestimmte APIs. EMET versucht auch sogenanntes Heap-Spraying zu unterbinden.

Damit kann EMET den Exploit auch auf Windows-XP-Systemen wirkungslos machen, obwohl diese gar kein ASLR unterstützen. In einem kurzen Test konnte heise Security bestätigen, dass der Exploit unter Windows XP mit einem EMET-geschütztem Reader 9.3.4 nicht mehr funktioniert. Ob EMET auch gegen den neuen Exploit und im Zusammenspiel mit dem Flash Player schützt, müssen weitere Tests zeigen. Eine Anleitung, wie man EMET installiert und konfiguriert, findet man im Blogeintrag "Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit " auf den Seiten des "Security Research & Defense"-Teams von Microsoft.

[Update]: Wegen eines Server-Ausfalls ist die EMET-Downloadseite derzeit nicht zu erreichen. Alternativ funktioniert dieser direkte Download-Link (dab)

Quelle: Heise.de