You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1517

[Generic/Adobe] Schwachstelle in Adobe Reader und Adobe Acrobat, Patches verfügbar (UPDATE 2)
(2009-03-11 22:44:01.422716+00) Druckversion

Quelle: http://www.adobe.com/support/security/advisories/apsa09-01.html

Eine kritische Schwachstelle in Adobe Reader und Adobe Acrobat kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. UPDATE (2009-03-11): Mittlerweile hat sich herausgestellt, dass die Schwachstelle auf Microsoft Windows-Systemen noch leichter ausgenutzt werden kann als bisher gedacht. Auch ermöglicht sie die Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien. Adobe stellt Patches für Microsoft Windows sowie für Mac OS X bereit.

Inhalt

Zusammenfassung

  • CVE-2009-0658:
    Betroffen: Adobe Reader 9 und älter, Adobe Acrobat 9 und älter
    Einfallstor: PDF-Dokument
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise, UPDATE (2009-03-11): system compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: hoch bzw. sehr hoch (UPDATE 2009-03-11)
    Workaround: bedingt (UPDATE 2009-02-25)
    Gegenmaßnahmen: Patches für Microsoft Windows und Mac OS X verfügbar (UPDATE 2009-03-11)
    Vulnerability ID: CVE-2009-0658

Betroffene Systeme

  • Adobe Reader 9.0 und älter unter allen Betriebssystemen
  • Adobe Acrobat 9.0 und älter unter allen Betriebssystemen

Einfallstor

  • speziell präpariertes PDF-Dokument

Angriffsvoraussetzung

  • Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, ein entsprechendes PDF Dokument zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
    (user interaction)
  • UPDATE (2009-03-11):
    Benutzerinteraktion - Neuere Untersuchungen haben ergeben, dass zumindest unter Microsoft Windows das bloße Speichern einer entsprechenden PDF-Datei im Dateisystem eines betroffenen Systems ausreicht, die Schwachstelle auszulösen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
    (user interaction)

Angriffsvektorklasse

  • Über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des Adobe-Prozesses; dies sind üblicherweise die Privilegien des Benutzers, der Adobe gestartet hat.
    (user compromise)
  • UPDATE (2009-03-11): Auf Microsoft Windows-Systemen:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
    (system compromise)

Typ der Verwundbarkeit

  • Pufferüberlaufschwachstelle
    (buffer overflow bug)

Gefahrenpotential

  • hoch
  • UPDATE (2009-02-25): unter Microsoft Windows:
    sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Schwachstelle in einem nicht näher spezifizierten Nicht-JavaScript Funktionsaufruf lässt einen Angreifer beliebigen Programmcode ausführen. Die aktuell bekannten Exploits nutzen jedoch JavaScript um den unerwünschten Code im Speicher an den richtigen Stellen zu verteilen.

UPDATE (2009-02-25):
Neuere Untersuchungen haben ergeben, dass die Deaktivierung von JavaScript die Ausnutzung der Schwachstelle nicht verhindert!
Daher hilft es (derzeit) JavaScript zu deaktivieren, wodurch Adobe bei präparierten Dateien lediglich abstürzt ohne Code auszuführen.

UPDATE (2009-03-11):
Wie unlängst bekannt wurde ist auch der von Adobe installierte IFilter für den Windows-Indexdienst anfällig für die Schwachstelle. Damit muss lediglich dieser Dienst laufen und sich ein präpariertes Dokument auf der Festplatte befinden damit der Schadcode mit Systemprivilegien ausgeführt wird! Auch andere Software, die IFilter einsetzt, ist von dem Problem betroffen.

Workaround

  • UPDATE (2009-02-25): Neuere Untersuchungen haben ergeben, dass die Deaktivierung von JavaScript die Ausnutzung der Schwachstelle nicht verhindert!
    Deaktivierung von JavaScript
  • Öffnen Sie keinerlei PDF-Dokumente, die Sie über einen unsicheren Kanal erreichen. Bedenken Sie, dass E-Mail-Nachrichten ohne eine nachvollziehbare und gültige digitale Signatur als unsicher angesehen werden müssen. Auch wenn Sie eine PDF-Datei eines Ihnen bekannten Absenders erhalten, kann diese Malware enthalten. E-Mail-Headers sind trivial fälschbar.
  • UPDATE (2009-03-11):
    Für betroffene Systeme unter Microsoft Windows: Deregistrierung von Adobes IFilter plugins: regsvr32 /u AcroRdIf.dll

Gegenmaßnahmen

  • Adobe hat einen Patch für den 11. März angekündigt
    UPDATE (2009-03-11):
    Für Microsoft Windows und Mac OS X sind neue Versionen verfügbar: Adobe Reader 9.1
  • UPDATE (2009-03-11):
    Adobe Reader 9.1 für Linux und UNIX-Betriebssysteme ist für den 25. März angekündigt.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V 1.0 (2009-02-24)
  • V 1.1 (2009-02-25): UPDATE 1
    • die als Workaround empfohlene Abschaltung von JavaScript ist wirkungslos.
  • V 2.0 (2009-03-11): UPDATE 2
    • Die Auswirkungen einer erfolgreichen Ausnutzung der Schwachstelle sind weitaus ernster, als bislang bekannt
    • Adobe stellt neue Versionen für Microsoft Windows-Betriebssysteme sowie Mac OS X bereit.
(ms)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.