Kritische Sicherheitslücke in Adobe Reader und Acrobat

15. Dezember 2009

Da Acrobat/Adobe Reader sehr verbreitet ist, diese Schwachstelle bereits für gezielte Angriffe benutzt wird und der Schutz durch Antiviren-Software noch sehr mangelhaft ist, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Das Adobe Product SIRT warnt vor einer gravierenden Verwundbarkeit in Adobe Reader und Acrobat die auch schon aktiv ausgenützt wird. Das Öffnen eines präparierten PDF-Dokuments startet den dort verstecken Schadcode. Ein solches Dokument kann etwa direkt per Email, oder auch als Link in Emails, Webseiten und anderen Internetdiensten verbreitet werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Da typische Schadsoftware weiteren Code nachlädt, kann nichts ausgeschlossen werden.

Betroffene Systeme

Laut aktuellem Wissensstand sind alle Systeme, auf denen Adobe Reader oder Acrobat installiert ist und benutzt wird, betroffen.

Seit 11. Dezember sind Angriffe, die die Lücke aktiv ausnützen, bekannt. Es dürfte sich hierbei laut Shadowserver primär um gezielte Attacken handeln.

Abhilfe

Der Fehler scheint in der JavaScript-Verarbeitung zu liegen. Da Adobe noch keinen Patch anbietet, ist derzeit die einzige Möglichkeit das Abschalten von JavaScript. Dies geht zu Beispiel mit:

Bearbeiten – Voreinstellungen – JavaScript – Häkchen bei "Acrobat JavaScript aktivieren" entfernen

Für das simple Anzeigen von PDF-Dokumenten gibt es auch Alternativen zur Software von Adobe.

Derzeit wird der Schadcode nur von 5 aus 41 AV-Herstellern (laut Virustotal) erkannt, was sich aber relativ rasch bessern sollte.

Hinweis

Sowohl Acrobat/Adobe Reader als auch Adobe Flash sind sehr verbreitet. Sicherheitslücken in dieser Software sind daher als ähnlich schwerwiegend anzusehen wie Fehler in Microsoft Windows oder Office.

JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von dem aktuellen Problem empfehlenswert.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Meldung von Adobe
http://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html
Analyse von Shadowserver
http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20091214
Meldung bei Heise
http://www.heise.de/security/meldung/Angriffe-auf-ungepatche-Luecke-in-Adobe-Reader-und-Acrobat-885980.html