[Generic/Adobe] Schwachstelle in Adobe Reader und Adobe Acrobat, Patches verfügbar (UPDATE 2)
(2009-03-11 22:44:01.422716+00) Druckversion
Quelle: http://www.adobe.com/support/security/advisories/apsa09-01.html
Eine kritische Schwachstelle in Adobe Reader und Adobe Acrobat kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. UPDATE (2009-03-11): Mittlerweile hat sich herausgestellt, dass die Schwachstelle auf Microsoft Windows-Systemen noch leichter ausgenutzt werden kann als bisher gedacht. Auch ermöglicht sie die Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien. Adobe stellt Patches für Microsoft Windows sowie für Mac OS X bereit.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Einfallstor
- Angriffsvoraussetzung
- Angriffsvektorklasse
- Auswirkung
- Typ der Verwundbarkeit
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
- Weitere Information zu diesem Thema
- Revisionen dieser Meldung
Zusammenfassung
- CVE-2009-0658:
Betroffen: Adobe Reader 9 und älter, Adobe Acrobat 9 und älter Einfallstor: PDF-Dokument Angriffsvoraussetzung: Benutzerinteraktion Angriffsvektorklasse: remote Auswirkung: user compromise, UPDATE (2009-03-11): system compromise Typ: Pufferüberlaufschwachstelle Gefahrenpotential: hoch bzw. sehr hoch (UPDATE 2009-03-11) Workaround: bedingt (UPDATE 2009-02-25) Gegenmaßnahmen: Patches für Microsoft Windows und Mac OS X verfügbar (UPDATE 2009-03-11) Vulnerability ID: CVE-2009-0658
Betroffene Systeme
- Adobe Reader 9.0 und älter unter allen Betriebssystemen
- Adobe Acrobat 9.0 und älter unter allen Betriebssystemen
Einfallstor
- speziell präpariertes PDF-Dokument
Angriffsvoraussetzung
- Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines
betroffenen Systems dazu veranlassen, ein entsprechendes PDF Dokument
zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer
E-Mail-Nachricht oder einer Webseite zugeleitet werden.
(user interaction) - UPDATE (2009-03-11):
Benutzerinteraktion - Neuere Untersuchungen haben ergeben, dass zumindest unter Microsoft Windows das bloße Speichern einer entsprechenden PDF-Datei im Dateisystem eines betroffenen Systems ausreicht, die Schwachstelle auszulösen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
(user interaction)
Angriffsvektorklasse
-
Über eine Netzwerkverbindung
(remote)
Auswirkung
- Ausführung beliebigen Programmcodes auf dem beherbergenden
System mit den Privilegien des Adobe-Prozesses; dies sind
üblicherweise die Privilegien des Benutzers, der Adobe gestartet hat.
(user compromise) - UPDATE (2009-03-11): Auf Microsoft Windows-Systemen:
Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
(system compromise)
Typ der Verwundbarkeit
-
Pufferüberlaufschwachstelle
(buffer overflow bug)
Gefahrenpotential
- hoch
- UPDATE (2009-02-25):
unter Microsoft Windows:
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Eine Schwachstelle in einem nicht näher spezifizierten Nicht-JavaScript Funktionsaufruf lässt einen Angreifer beliebigen Programmcode ausführen. Die aktuell bekannten Exploits nutzen jedoch JavaScript um den unerwünschten Code im Speicher an den richtigen Stellen zu verteilen.
UPDATE (2009-02-25):
Neuere Untersuchungen haben
ergeben, dass die Deaktivierung von JavaScript die Ausnutzung der
Schwachstelle nicht verhindert!
Daher hilft es (derzeit) JavaScript zu
deaktivieren, wodurch Adobe bei präparierten Dateien lediglich abstürzt
ohne Code auszuführen.
UPDATE (2009-03-11):
Wie
unlängst bekannt wurde ist auch der von Adobe installierte IFilter für den Windows-Indexdienst anfällig für die
Schwachstelle. Damit muss lediglich dieser Dienst laufen und sich ein
präpariertes Dokument auf der Festplatte befinden damit der Schadcode
mit Systemprivilegien ausgeführt wird! Auch andere Software, die IFilter
einsetzt, ist von dem Problem betroffen.
Workaround
- UPDATE (2009-02-25): Neuere Untersuchungen haben ergeben, dass die Deaktivierung
von JavaScript die Ausnutzung der Schwachstelle nicht
verhindert!
Deaktivierung von JavaScript - Öffnen Sie keinerlei PDF-Dokumente, die Sie über einen unsicheren Kanal erreichen. Bedenken Sie, dass E-Mail-Nachrichten ohne eine nachvollziehbare und gültige digitale Signatur als unsicher angesehen werden müssen. Auch wenn Sie eine PDF-Datei eines Ihnen bekannten Absenders erhalten, kann diese Malware enthalten. E-Mail-Headers sind trivial fälschbar.
- UPDATE (2009-03-11):
Für betroffene Systeme unter Microsoft Windows: Deregistrierung von Adobes IFilter plugins:regsvr32 /u AcroRdIf.dll
Gegenmaßnahmen
- Adobe hat einen Patch für den 11. März angekündigt
UPDATE (2009-03-11):
Für Microsoft Windows und Mac OS X sind neue Versionen verfügbar: Adobe Reader 9.1 -
UPDATE (2009-03-11):
Adobe Reader 9.1 für Linux und UNIX-Betriebssysteme ist für den 25. März angekündigt.
Vulnerability ID
Weitere Information zu diesem Thema
- Secunia Blog: Adobe Reader/Acrobat 0-day Clarification
- Didier Stevens Blog: Quickpost: /JBIG2Decode ?Look Mommy, No Hands!? (UPDATE 2009-03-11)
Revisionen dieser Meldung
- V 1.0 (2009-02-24)
- V 1.1 (2009-02-25): UPDATE 1
- die als Workaround empfohlene Abschaltung von JavaScript ist wirkungslos.
- V 2.0 (2009-03-11): UPDATE 2
- Die Auswirkungen einer erfolgreichen Ausnutzung der Schwachstelle sind weitaus ernster, als bislang bekannt
- Adobe stellt neue Versionen für Microsoft Windows-Betriebssysteme sowie Mac OS X bereit.
Weitere Artikel zu diesem Thema:
- [Generic/JBIG2] Schwachstelle in der PDF-Verarbeitungsbibliothek jbig2dec, zahlreiche Anwendungen betroffen (UPDATE) (2009-04-12)
Eine Schwachstelle in Ghostscript-Bibliothekjbig2dec
, die von vielen Applikationen zur Verarbeitung von PostScript- und PDF-Dokumenten verwendet wird, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Neben GhostScript und GhostView sind auch xpdf, Adobe Reader und Acrobat betroffen. Patches bzw. neue Versionen der jeweiligen Anwendungen sind verfügbar.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2018 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
Vorherige Meldung | Weitere Meldungen... | Nächste Meldung |
Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.