15. Dezember 2009
Da
Acrobat/Adobe Reader
sehr verbreitet ist, diese Schwachstelle bereits für
gezielte Angriffe benutzt wird und der Schutz durch Antiviren-Software
noch sehr mangelhaft ist, bittet CERT.at um Beachtung der folgenden
Meldung:
Beschreibung
Das
Adobe Product SIRT warnt vor einer gravierenden
Verwundbarkeit in Adobe Reader und Acrobat die auch schon aktiv
ausgenützt wird.
Das Öffnen eines präparierten PDF-Dokuments startet den dort verstecken Schadcode.
Ein solches Dokument kann etwa direkt per Email, oder auch als Link
in Emails, Webseiten und anderen Internetdiensten verbreitet werden.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie
potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
Fileshares, etc.) Daten und anderen Systeme gefährdet.
Da typische Schadsoftware weiteren Code nachlädt, kann nichts ausgeschlossen werden.
Betroffene Systeme
Laut aktuellem Wissensstand sind alle Systeme, auf denen Adobe Reader
oder Acrobat installiert ist und benutzt wird, betroffen.
Seit 11. Dezember sind Angriffe, die die Lücke aktiv
ausnützen, bekannt. Es dürfte sich hierbei laut
Shadowserver
primär um gezielte Attacken handeln.
Abhilfe
Der Fehler scheint in der JavaScript-Verarbeitung zu liegen. Da Adobe noch keinen Patch anbietet,
ist derzeit die einzige Möglichkeit das Abschalten von JavaScript. Dies geht zu Beispiel mit:
Bearbeiten – Voreinstellungen – JavaScript – Häkchen bei "Acrobat JavaScript aktivieren" entfernen
Für das simple Anzeigen von PDF-Dokumenten gibt es auch Alternativen zur Software von Adobe.
Derzeit wird der Schadcode nur von 5 aus 41 AV-Herstellern (laut
Virustotal) erkannt, was sich aber
relativ rasch bessern sollte.
Hinweis
Sowohl Acrobat/Adobe Reader als auch Adobe Flash sind sehr verbreitet. Sicherheitslücken in dieser Software
sind daher als ähnlich schwerwiegend anzusehen wie Fehler in Microsoft Windows oder Office.
JavaScript in Acrobat/Adobe Reader abzuschalten ist auch unabhängig von dem aktuellen Problem empfehlenswert.
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen,
parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):Meldung von Adobehttp://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.htmlAnalyse von Shadowserverhttp://www.shadowserver.org/wiki/pmwiki.php/Calendar/20091214Meldung bei Heisehttp://www.heise.de/security/meldung/Angriffe-auf-ungepatche-Luecke-in-Adobe-Reader-und-Acrobat-885980.html