Acrobat-Lücke gefährlicher als gedacht

9. März 2009, 13:35
  • security
  • adobe
  • microsoft
image

Schadcode wird bereits mittels simplem Einmal-Klick ausgeführt

Schadcode wird bereits mittels simplem Einmal-Klick ausgeführt
Die bereits vor zwei Wochen aufgetauchte Sicherheitslücke in allen Versionen von Adobe Reader und Adobe Acrobat ist weitaus gefährlicher, als bisher angenommen. Wie der Sicherheitsexperte Didier Stevens nämlich herausgefunden hat, wird ein Computer, zumindest unter Windows, bereits durch simples Anklicken einer befallenen Datei verseucht - zumindest wenn die "Miniaturansicht" im Windows Explorer gewählt wurde. In diesem Fall ruft der Explorer im Hintergrund nämlich automatisch die Windows-Explorer-Shell-Erweiterung von Acrobat auf. Diese wiederum nutzt Funktionen derjenigen DLL, in der die Sicherheitslücke entdeckt wurde.
In einem Video auf seinem Blog zeigt Stevens ein Proof-of-Concept und erklärt, dass ihm das Ausführen des Schadcodes auf einem vollständig gepatchten Windows XP mit ServicePack 2 gelungen ist. Er geht davon aus, dass auch die anderen Windows-Varianten auf diese Weise verwundbar sind. Gemäss Stevens kann zudem auch die Windows-Suchfunktion eine Infektion mit dem Schadcode auslösen. Der Windows-Index-Service, der zum Erstellen eines Suchindexs genutzt wird, greift ebenfalls auf die anfällige DLL von Adobe zu. Allerdings ist der Indexdienst standardmässig nicht aktiviert.
Einen Schutz gegen die von Stevens aufgezeigten Sicherheitslücken gibt es derzeit nicht. Die frühere Empfehlung, wonach das Ausschalten von JavaScript eine Infizierung mit Schadcode verhindert, nutzt bei der von Stevens entdeckten Infizierungsmöglichkeit nicht. Adobe selber hat auf den 11. März einen entsprechenden Patch für die Sicherheitslücke angekündigt. Eine rasche Installation des Korrekturfiles ist jedoch dringend angezeigt. (bt)

Loading

Mehr zum Thema

image

IT-Security: Personalmangel ist das Problem, nicht das Geld

Laut einer internationalen Umfrage sehen Security-Verantwortliche nur bei jedem 10. Unternehmen Probleme wegen des Security-Budgets.

publiziert am 8.8.2022
image

Wie es zur Warnung vor Kaspersky kam

Dokumente des deutschen Amtes für Cybersicherheit stützen die Position von Kaspersky. Der Security-Anbieter kritisierte die BSI-Warnung als politischen Entscheid.

publiziert am 5.8.2022
image

Bund beschafft zentrale Bug-Bounty-Plattform

Das NCSC leitet die künftigen Programme, Bug Bounty Switzerland liefert und verwaltet die Plattform.

publiziert am 3.8.2022
image

Elektronikhersteller Semikron meldet Cyberangriff

Der deutsche Spezialist für Leistungselektronik mit einer Niederlassung in Interlaken wurde mit Ransomware attackiert. Offenbar wurden auch Daten entwendet.

publiziert am 3.8.2022