Update angekündigt

Zero-Day-Lücken im Adobe Reader

Nach Bekanntwerden zweier Sicherheitslücken in allen Versionen des Adobe Reader hat der Hersteller eine Sicherheitsmitteilung veröffentlicht und Updates angekündigt.

Zero-Day-Lücken im Adobe Reader

© Frank Ziemann

Zero-Day-Lücken im Adobe Reader

In allen aktuellen und wohl auch den älteren Versionen des kostenlosen PDF-Betrachter Adobe Reader haben Sicherheitsforscher zwei Schwachstellen entdeckt. Mindestens eine der Lücken ist offenbar bereits vorher Online-Kriminellen und/oder Geheimdiensten bekannt gewesen, denn sie wurde in freier Wildbahn in einer PDF-Datei entdeckt.

Das Sicherheitsunternehmen FireEye hat die Entdeckung einer so genannten Zero-Day-Lücke im Adobe Reader in seinem Blog gemeldet. Demnach sind die aktuellen Reader-Versionen 11.0.1, 10.1.5 und 9.5.3 anfällig, die Adobe erst Anfang Januar bereit gestellt hatte Ältere Versionen dürften ebenso anfällig sein wie auch der PDF-Editor Acrobat. Dies betrifft nicht nur Windows, sondern auch Mac OS X und Linux.

Laut FireEye legt das gefundene PDF-Dokument beim Öffnen im Adobe Reader zwei DLLs (Programmbibliotheken) auf der Festplatte des Rechners ab. Die erste DLL zeigt eine vorgetäuschte Fehlermeldung an, die zweite DLL startet einen Schädling, der nach Hause telefoniert.

Adobe hat eine Kopie dieser Datei erhalten und inzwischen eine Sicherheitsmitteilung veröffentlicht. Demnach sind sogar zwei bis dahin nicht bekannte Sicherheitslücken vorhanden, die in dieser Datei ausgenutzt werden. Man arbeite an Sicherheits-Updates für die anfälligen Produkte.

In der Zwischenzeit sollten Nutzer des Adobe Reader XI (11.x) die "Geschützte Ansicht" aktivieren, um PDF-Dateien in einer Sandbox zu öffnen. Die entsprechende Option findet sich unter Datei->Bearbeiten->Voreinstellungen->Sicherheit (erweitert). Eine weitere Möglichkeit ist auf Foxit Reader, SumatraPDF oder andere PDF-Betrachter auszuweichen, bis Adobe ein Update bereit stellt.

Mehr zum Thema

0-Day-Lücke im Internet Explorer gestopft
Microsoft Patch Day

Beim monatlichen Update-Dienstag hat Microsoft 37 Sicherheitslücken geschlossen, allein 26 im Internet Explorer. Eine der IE-Lücken wird bereits…
Microsoft schließt 42 Sicherheitslücken
Microsoft Patch Day - September 2014

Mit vier Security Bulletins und den zugehörigen Sicherheits-Updates beseitigt Microsoft 42 Schwachstellen. Die meisten Lücken stecken im Internet…
Microsoft auf der gamescom
Patch Day Oktober 2014

Microsoft hat acht Security Bulletins veröffentlicht: Die Sicherheits-Updates beseitigen 14 Schwachstellen vor allem in Internet Explorer und…
windows update, KB 2949927, Probleme, Fehler 80004005
KB 2949927 Probleme

Microsoft hat das Windows-Update KB 2949927 zurückgezogen. Nutzer sollten das Windows Update dringend deinstallieren.
Firefox
Mozilla-Browser

Mozilla hat Firefox 38 zum Download freigegeben. Die neue Version des Browsers bringt unter anderem ein DRM-Modul von Adobe mit. Wir erklären, was…