Die jüngst zur Verfügung gestellten Updates für Acrobat 8 sowie Adobe Reader 8 beheben mehrere teils kritische Sicherheitslücken, die von Angreifern dazu ausgenutzt werden können, beliebigen Programmcode auf dem beherbergenden System auzuführen. UPDATE: Eine der Schwachstellen wird bereits aktiv ausgenutzt.

Inhalt

• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Gegenmaßnahmen
• Vulnerability ID
• Exploit Status
• Revisionen dieser Meldung

Betroffene Systeme

• CVE-2008-4812:
  
  • Adobe Reader 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Professional 8.1.2 sowie frühere Versionen
  • Adobe Acrobat 3D 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Standard 8.1.2 sowie frühere Versionen
• CVE-2008-4813:
  
  • Adobe Reader 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Professional 8.1.2 sowie frühere Versionen
  • Adobe Acrobat 3D 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Standard 8.1.2 sowie frühere Versionen
• CVE-2008-2992:
  
  • Adobe Reader 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Professional 8.1.2 sowie frühere Versionen
  • Adobe Acrobat 3D 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Standard 8.1.2 sowie frühere Versionen
• CVE-2008-4817:
  
  • Adobe Reader 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Professional 8.1.2 sowie frühere Versionen
  • Adobe Acrobat 3D 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Standard 8.1.2 sowie frühere Versionen
• CVE-2008-4816:
  
  • Adobe Reader 8.1.2 sowie frühere Versionen unter Microsoft Windows Betriebssystemen
  • Adobe Acrobat Professional 8.1.2 sowie frühere Versionen unter Microsoft Windows Betriebssystemen
  • Adobe Acrobat 3D 8.1.2 sowie frühere Versionen unter Microsoft Windows Betriebssystemen
  • Adobe Acrobat Standard 8.1.2 sowie frühere Versionen unter Microsoft Windows Betriebssystemen
• CVE-2008-4814:
  
  • Adobe Reader 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Professional 8.1.2 sowie frühere Versionen
  • Adobe Acrobat 3D 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Standard 8.1.2 sowie frühere Versionen
• CVE-2008-4815:
  
  • Adobe Reader 8.1.2 sowie frühere Versionen unter GNU/Linux und Unix-Systemen
  • Adobe Acrobat Professional 8.1.2 sowie frühere Versionen unter GNU/Linux und Unix-Systemen
  • Adobe Acrobat 3D 8.1.2 sowie frühere Versionen unter GNU/Linux und Unix-Systemen
  • Adobe Acrobat Standard 8.1.2 sowie frühere Versionen unter GNU/Linux und Unix-Systemen
• CVE-2008-2549:
  
  • Adobe Reader 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Professional 8.1.2 sowie frühere Versionen
  • Adobe Acrobat 3D 8.1.2 sowie frühere Versionen
  • Adobe Acrobat Standard 8.1.2 sowie frühere Versionen

Nicht betroffene Systeme

• CVE-2008-4812:
  
  • Adobe Reader 8.1.3
  • Adobe Reader 9
  • Adobe Acrobat 8.1.3
  • Adobe Acrobat 3D 8.1.3
  • Adobe Acrobat Standard 8.1.3
• CVE-2008-4813:
  
  • Adobe Reader 8.1.3
  • Adobe Reader 9
  • Adobe Acrobat 8.1.3
  • Adobe Acrobat 3D 8.1.3
  • Adobe Acrobat Standard 8.1.3
• CVE-2008-2992:
  
  • Adobe Reader 8.1.3
  • Adobe Reader 9
  • Adobe Acrobat 8.1.3
  • Adobe Acrobat 3D 8.1.3
  • Adobe Acrobat Standard 8.1.3
• CVE-2008-4817:
  
  • Adobe Reader 8.1.3
  • Adobe Reader 9
  • Adobe Acrobat 8.1.3
  • Adobe Acrobat 3D 8.1.3
  • Adobe Acrobat Standard 8.1.3
• CVE-2008-4816:
  
  • Adobe Reader 8.1.3
  • Adobe Reader 9
  • Adobe Acrobat 8.1.3
  • Adobe Acrobat 3D 8.1.3
  • Adobe Acrobat Standard 8.1.3
• CVE-2008-4814:
  
  • Adobe Reader 8.1.3
  • Adobe Reader 9
  • Adobe Acrobat 8.1.3
  • Adobe Acrobat 3D 8.1.3
  • Adobe Acrobat Standard 8.1.3
• CVE-2008-4815:
  
  • Adobe Reader 8.1.3
  • Adobe Reader 9
  • Adobe Acrobat 8.1.3
  • Adobe Acrobat 3D 8.1.3
  • Adobe Acrobat Standard 8.1.3
• CVE-2008-2549:
  
  • Adobe Reader 8.1.3
  • Adobe Reader 9
  • Adobe Acrobat 8.1.3
  • Adobe Acrobat 3D 8.1.3
  • Adobe Acrobat Standard 8.1.3

Einfallstor

• CVE-2008-4812:
  PDF-Datei
• CVE-2008-4813:
  PDF-Datei
• CVE-2008-2992:
  PDF-Datei
• CVE-2008-4817:
  PDF-Datei
• CVE-2008-4816:
  PDF-Datei
• CVE-2008-4814:
  unbekannt
• CVE-2008-4815:
  fest kodierter Suchpfad (RPATH)
• CVE-2008-2549:
  PDF-Datei

Angriffsvoraussetzung

• CVE-2008-4812:
  Benutzerinteraktion -- ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende PDF-Datei mit einer der verwundbaren Applikationen zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
  (user interaction)
• CVE-2008-4813:
  Benutzerinteraktion -- ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende PDF-Datei mit einer der verwundbaren Applikationen zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
  (user interaction)
• CVE-2008-2992:
  Benutzerinteraktion -- ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende PDF-Datei mit einer der verwundbaren Applikationen zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
  (user interaction)
• CVE-2008-4817:
  Benutzerinteraktion -- ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende PDF-Datei mittels des Download Managers einer der verwundbaren Applikationen zu laden.
  (user interaction)
• CVE-2008-4816:
  Benutzerinteraktion -- ein Angreifer muss einen Benutzer eines betroffenen Microsoft-Windows-Systems dazu veranlassen, eine entsprechende PDF-Datei mittels des Download Managers einer der verwundbaren Applikationen zu laden.
  (user interaction)
• CVE-2008-4814:
  unbekannt
  (unknown)
• CVE-2008-4815:
  Zugriff auf ein betroffenes System in der Weise, dass der Zugriff auf die unter dem fest im Programm kodierten Suchpfad installierten Programme manipuliert werden können, üblicherweise mindestens gültige unprivilegierte Zugriffsdaten.
  (user credentials)
• CVE-2008-2549:
  Benutzerinteraktion -- ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende PDF-Datei mit einer der verwundbaren Applikationen zu öffnen. Eine solche Datei kann dem Opfer z.B. mittels einer E-Mail-Nachricht oder einer Webseite zugeleitet werden.
  (user interaction)

Angriffsvektorklasse

• CVE-2008-4812:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4813:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-2992:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4817:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4816:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4814:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4815:
  vom betroffenen System aus
  (local)
• CVE-2008-2549:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2008-4812:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (user compromise)
• CVE-2008-4813:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (user compromise)
• CVE-2008-2992:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (user compromise)
• CVE-2008-4817:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (user compromise)
• CVE-2008-4816:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (user compromise)
• CVE-2008-4814:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (user compromise)
• CVE-2008-4815:
  Privilegienerweiterung
  (privilege escalation)
• CVE-2008-2549:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (user compromise)

Typ der Verwundbarkeit

• CVE-2008-4812:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4813:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-2992:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4817:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4816:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4814:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4815:
  Entwurfsfehler
  (design flaw)
• CVE-2008-2549:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)

Gefahrenpotential

• CVE-2008-4812:
  hoch
• CVE-2008-4813:
  hoch
• CVE-2008-2992:
  hoch
• CVE-2008-4817:
  hoch
• CVE-2008-4816:
  hoch
• CVE-2008-4814:
  hoch
• CVE-2008-4815:
  mittel bis hoch
• CVE-2008-2549:
  hoch

Beschreibung

• CVE-2008-4812:
  Eine Schwachstelle in den genannten Applikationen ermöglicht beim Öffnen einer entsprechend präparierten PDF-Datei die Ausführung beliebigen Programmcodes mit den Privilegien des Prozesses, der die verwundbare Applikation ausführt. Um diese Schwachstelle erfolgreich ausnutzen zu können, muss ein Angreifer einen Benutzer dazu bringen, eine entsprechende Datei zu öffnen. Diese kann ihm z.B. im Anhang einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

  Dieses Angriffsszenario entspricht dem klassischen Infektionsszenario für Malware aller Art, weshalb die Schwachstelle leicht mechanisiert ausgenutzt werden kann.

• CVE-2008-4813:
  Eine Schwachstelle in den genannten Applikationen ermöglicht beim Öffnen einer entsprechend präparierten PDF-Datei die Ausführung beliebigen Programmcodes mit dem Privilegien des Prozesses der die verwundbare Applikation ausführt. Um diese Schwachstelle erfolgreich ausnutzen zu können, muss ein Angreifer einen Benutzer dazu bringen, eine entsprechende Datei zu öffnen. Diese kann ihm z.B. im Anhang einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

  Dieses Angriffsszenario entspricht dem klassischen Infektionsszenario für Malware aller Art, weshalb die Schwachstelle leicht mechanisiert ausgenutzt werden kann.

• CVE-2008-2992:
  Eine Schwachstelle in der JavaScript-Funktion util.printf, die von den genannten Applikationen aufgerufen wird, ermöglicht beim Öffnen einer entsprechend präparierten PDF-Datei die Ausführung beliebigen Programmcodes mit dem Privilegien des Prozesses der die verwundbare Applikation ausführt. Um diese Schwachstelle erfolgreich ausnutzen zu können, muss ein Angreifer einen Benutzer dazu bringen, eine entsprechende Datei zu öffnen. Diese kann ihm z.B. im Anhang einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

  Dieses Angriffsszenario entspricht dem klassischen Infektionsszenario für Malware aller Art, weshalb die Schwachstelle leicht mechanisiert ausgenutzt werden kann.

  UPDATE: Diese Schwachstelle wird bereits aktiv ausgenutzt.

• CVE-2008-4817:
  Eine Schwachstelle im Download Manager der genannten Applikationen ermöglicht beim Laden einer entsprechend präparierten PDF-Datei die Ausführung beliebigen Programmcodes mit dem Privilegien des Prozesses der die verwundbare Applikation ausführt.
• CVE-2008-4816:
  Eine Schwachstelle im Download Manager der genannten Applikationen ermöglicht beim Laden einer entsprechend präparierten PDF-Datei die Ausführung beliebigen Programmcodes mit dem Privilegien des Prozesses der die verwundbare Applikation ausführt. Die Schwachstelle betrifft nur die genannten Adobe-Produkte, wenn sie unter Windows Betriebssystemen installiert sind.
• CVE-2008-4814:
  Eine nicht näher spezifizierte Schwachstelle in einer JavaScript-Methode der genannten Applikationen ermöglicht die Ausführung beliebigen Programmcodes mit dem Privilegien des Prozesses der die verwundbare Applikation ausführt.
• CVE-2008-4815:
  Die feste Kodierung von Suchpfaden in den genannten Applikationen ermöglichen es einem unprivilegierten Benutzer auf einem betroffenen GNU/Linux- oder Unix-System, je nach Installation seine Privilegien zu erweitern.
• CVE-2008-2549:
  Eine Schwachstelle in den genannten Applikationen ermöglicht beim Öffnen einer entsprechend präparierten PDF-Datei die Ausführung beliebigen Programmcodes mit dem Privilegien des Prozesses der die verwundbare Applikation ausführt. Um diese Schwachstelle erfolgreich ausnutzen zu können, muss ein Angreifer einen Benutzer dazu bringen, eine entsprechende Datei zu öffnen. Diese kann ihm z.B. im Anhang einer E-Mail-Nachricht oder über eine Webseite zugeleitet werden.

  Dieses Angriffsszenario entspricht dem klassischen Infektionsszenario für Malware aller Art, weshalb die Schwachstelle leicht mechanisiert ausgenutzt werden kann.

Gegenmaßnahmen

• CVE-2008-4812:
  Adobe Reader:
  • Installation des Adobe Reader 9
  • Falls die Installation des Adobe Readers 9 (s.o.) nicht möglich ist: Installation des Adobe Reader 8.1.3
  Acrobat 8:
  • Microsoft-Windows-Nutzer: Installation von Acrobat 8.1.3
  • bzw: Acrobat 3D Version 8.1.3
  • Macintosh-Nutzer: Installation von Acrobat 8.1.3
  Linux-Nutzer sollten die entsprechenden Pakete ihres Distributors installieren.
• CVE-2008-4813:
  Adobe Reader:
  • Installation des Adobe Reader 9
  • Falls die Installation des Adobe Readers 9 (s.o.) nicht möglich ist: Installation des Adobe Reader 8.1.3
  Acrobat 8:
  • Microsoft-Windows-Nutzer: Installation von Acrobat 8.1.3
  • bzw: Acrobat 3D Version 8.1.3
  • Macintosh-Nutzer: Installation von Acrobat 8.1.3
  Linux-Nutzer sollten die entsprechenden Pakete ihres Distributors installieren.
• CVE-2008-2992:
  Adobe Reader:
  • Installation des Adobe Reader 9
  • Falls die Installation des Adobe Readers 9 (s.o.) nicht möglich ist: Installation des Adobe Reader 8.1.3
  Acrobat 8:
  • Microsoft-Windows-Nutzer: Installation von Acrobat 8.1.3
  • bzw: Acrobat 3D Version 8.1.3
  • Macintosh-Nutzer: Installation von Acrobat 8.1.3
  Linux-Nutzer sollten die entsprechenden Pakete ihres Distributors installieren
• CVE-2008-4817:
  Adobe Reader:
  • Installation des Adobe Reader 9
  • Falls die Installation des Adobe Readers 9 (s.o.) nicht möglich ist: Installation des Adobe Reader 8.1.3
  Acrobat 8:
  • Microsoft-Windows-Nutzer: Installation von Acrobat 8.1.3
  • bzw: Acrobat 3D Version 8.1.3
  • Macintosh-Nutzer: Installation von Acrobat 8.1.3
  Linux-Nutzer sollten die entsprechenden Pakete ihres Distributors installieren.
• CVE-2008-4816:
  Adobe Reader:
  • Installation des Adobe Reader 9
  • Falls die Installation des Adobe Readers 9 (s.o.) nicht möglich ist: Installation des Adobe Reader 8.1.3
  Acrobat 8:
  • Microsoft-Windows-Nutzer: Installation von Acrobat 8.1.3
  • bzw: Acrobat 3D Version 8.1.3
  • Macintosh-Nutzer: Installation von Acrobat 8.1.3
• CVE-2008-4814:
  Adobe Reader:
  • Installation des Adobe Reader 9
  • Falls die Installation des Adobe Readers 9 (s.o.) nicht möglich ist: Installation des Adobe Reader 8.1.3
  Acrobat 8:
  • Microsoft-Windows-Nutzer: Installation von Acrobat 8.1.3
  • bzw: Acrobat 3D Version 8.1.3
  • Macintosh-Nutzer: Installation von Acrobat 8.1.3
  Linux-Nutzer sollten die entsprechenden Pakete ihres Distributors installieren.
• CVE-2008-4815:
  Adobe Reader:
  • Installation des Adobe Reader 9
  • Falls die Installation des Adobe Readers 9 (s.o.) nicht möglich ist: Installation des Adobe Reader 8.1.3
  Acrobat 8:
  • Microsoft-Windows-Nutzer: Installation von Acrobat 8.1.3
  • bzw: Acrobat 3D Version 8.1.3
  • Macintosh-Nutzer: Installation von Acrobat 8.1.3
  Linux-Nutzer sollten die entsprechenden Pakete ihres Distributors installieren.
• CVE-2008-2549:
  Adobe Reader:
  • Installation des Adobe Reader 9
  • Falls die Installation des Adobe Readers 9 (s.o.) nicht möglich ist: Installation des Adobe Reader 8.1.3
  Acrobat 8:
  • Microsoft-Windows-Nutzer: Installation von Acrobat 8.1.3
  • bzw: Acrobat 3D Version 8.1.3
  • Macintosh-Nutzer: Installation von Acrobat 8.1.3
  Linux-Nutzer sollten die entsprechenden Pakete ihres Distributors installieren.

Vulnerability ID

• CVE-2008-4812
• CVE-2008-4813
• CVE-2008-2992
• CVE-2008-4817
• CVE-2008-4816
• CVE-2008-4814
• CVE-2008-4815
• CVE-2008-2549

Exploit Status

• CVE-2008-2992:
  Die Schwachstelle wird bereits aktiv ausgenutzt.

Revisionen dieser Meldung

• V 1.0 (2008-11-05)
• V 1.1 (2008-11-08)
  • Exploit Status aktualisiert.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/