Meldung Nr: RUS-CERT-1517

[Generic/Adobe] Schwachstelle in Adobe Reader und Adobe Acrobat, Patches verfügbar (UPDATE 2)
(2009-03-11 22:44:01.422716+00) Druckversion

Quelle: http://www.adobe.com/support/security/advisories/apsa09-01.html

Eine kritische Schwachstelle in Adobe Reader und Adobe Acrobat kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. UPDATE (2009-03-11): Mittlerweile hat sich herausgestellt, dass die Schwachstelle auf Microsoft Windows-Systemen noch leichter ausgenutzt werden kann als bisher gedacht. Auch ermöglicht sie die Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien. Adobe stellt Patches für Microsoft Windows sowie für Mac OS X bereit.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema
• Revisionen dieser Meldung

Zusammenfassung

• CVE-2009-0658:
  

  Betroffen:	Adobe Reader 9 und älter, Adobe Acrobat 9 und älter
  Einfallstor:	PDF-Dokument
  Angriffsvoraussetzung:	Benutzerinteraktion
  Angriffsvektorklasse:	remote
  Auswirkung:	user compromise, UPDATE (2009-03-11): system compromise
  Typ:	Pufferüberlaufschwachstelle
  Gefahrenpotential:	hoch bzw. sehr hoch (UPDATE 2009-03-11)
  Workaround:	bedingt (UPDATE 2009-02-25)
  Gegenmaßnahmen:	Patches für Microsoft Windows und Mac OS X verfügbar (UPDATE 2009-03-11)
  Vulnerability ID:	CVE-2009-0658

Betroffene Systeme

• Adobe Reader 9.0 und älter unter allen Betriebssystemen
• Adobe Acrobat 9.0 und älter unter allen Betriebssystemen

Einfallstor

• speziell präpariertes PDF-Dokument

Angriffsvoraussetzung

• Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, ein entsprechendes PDF Dokument zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
  (user interaction)
• UPDATE (2009-03-11):
  Benutzerinteraktion - Neuere Untersuchungen haben ergeben, dass zumindest unter Microsoft Windows das bloße Speichern einer entsprechenden PDF-Datei im Dateisystem eines betroffenen Systems ausreicht, die Schwachstelle auszulösen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
  (user interaction)

Angriffsvektorklasse

• Über eine Netzwerkverbindung
  (remote)

Auswirkung

• Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Adobe-Prozesses; dies sind üblicherweise die Privilegien des Benutzers, der Adobe gestartet hat.
  (user compromise)
• UPDATE (2009-03-11): Auf Microsoft Windows-Systemen:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
  (system compromise)

Typ der Verwundbarkeit

• Pufferüberlaufschwachstelle
  (buffer overflow bug)

Gefahrenpotential

• hoch
• UPDATE (2009-02-25): unter Microsoft Windows:
  sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in einem nicht näher spezifizierten Nicht-JavaScript Funktionsaufruf lässt einen Angreifer beliebigen Programmcode ausführen. Die aktuell bekannten Exploits nutzen jedoch JavaScript um den unerwünschten Code im Speicher an den richtigen Stellen zu verteilen.

UPDATE (2009-02-25):
Neuere Untersuchungen haben ergeben, dass die Deaktivierung von JavaScript die Ausnutzung der Schwachstelle nicht verhindert!
Daher hilft es (derzeit) JavaScript zu deaktivieren, wodurch Adobe bei präparierten Dateien lediglich abstürzt ohne Code auszuführen.

UPDATE (2009-03-11):
Wie unlängst bekannt wurde ist auch der von Adobe installierte IFilter für den Windows-Indexdienst anfällig für die Schwachstelle. Damit muss lediglich dieser Dienst laufen und sich ein präpariertes Dokument auf der Festplatte befinden damit der Schadcode mit Systemprivilegien ausgeführt wird! Auch andere Software, die IFilter einsetzt, ist von dem Problem betroffen.

Workaround

• UPDATE (2009-02-25): Neuere Untersuchungen haben ergeben, dass die Deaktivierung von JavaScript die Ausnutzung der Schwachstelle nicht verhindert!
  Deaktivierung von JavaScript
• Öffnen Sie keinerlei PDF-Dokumente, die Sie über einen unsicheren Kanal erreichen. Bedenken Sie, dass E-Mail-Nachrichten ohne eine nachvollziehbare und gültige digitale Signatur als unsicher angesehen werden müssen. Auch wenn Sie eine PDF-Datei eines Ihnen bekannten Absenders erhalten, kann diese Malware enthalten. E-Mail-Headers sind trivial fälschbar.
• UPDATE (2009-03-11):
  Für betroffene Systeme unter Microsoft Windows: Deregistrierung von Adobes IFilter plugins: regsvr32 /u AcroRdIf.dll

Gegenmaßnahmen

• Adobe hat einen Patch für den 11. März angekündigt
  UPDATE (2009-03-11):
  Für Microsoft Windows und Mac OS X sind neue Versionen verfügbar: Adobe Reader 9.1
• UPDATE (2009-03-11):
  Adobe Reader 9.1 für Linux und UNIX-Betriebssysteme ist für den 25. März angekündigt.

Vulnerability ID

• CVE-2009-0658

Weitere Information zu diesem Thema

• Secunia Blog: Adobe Reader/Acrobat 0-day Clarification
• Didier Stevens Blog: Quickpost: /JBIG2Decode ?Look Mommy, No Hands!? (UPDATE 2009-03-11)

Revisionen dieser Meldung

• V 1.0 (2009-02-24)
• V 1.1 (2009-02-25): UPDATE 1
  • die als Workaround empfohlene Abschaltung von JavaScript ist wirkungslos.
• V 2.0 (2009-03-11): UPDATE 2
  • Die Auswirkungen einer erfolgreichen Ausnutzung der Schwachstelle sind weitaus ernster, als bislang bekannt
  • Adobe stellt neue Versionen für Microsoft Windows-Betriebssysteme sowie Mac OS X bereit.

(ms)

---

Weitere Artikel zu diesem Thema:

• [Generic/JBIG2] Schwachstelle in der PDF-Verarbeitungsbibliothek jbig2dec, zahlreiche Anwendungen betroffen (UPDATE) (2009-04-12)
  Eine Schwachstelle in Ghostscript-Bibliothek jbig2dec, die von vielen Applikationen zur Verarbeitung von PostScript- und PDF-Dokumenten verwendet wird, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Neben GhostScript und GhostView sind auch xpdf, Adobe Reader und Acrobat betroffen. Patches bzw. neue Versionen der jeweiligen Anwendungen sind verfügbar.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung

Weitere Meldungen...

Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.