15.04.2010, 09:30 Uhr
Adobe stopft PDF-Lücken
Adobe hat neue Versionen seiner PDF-Produkte Reader und Acrobat veröffentlicht. Damit werden insgesamt 15 Schwachstellen geschlossen.
Adobe schliesst insgesamt 15 PDF-Lücken
Sicherheitslücken im Adobe Reader sind der beliebteste Angriffsvektor für Malware-Attacken im Web. Seit 2009 stellt Adobe in vierteljährlichem Turnus Sicherheits-Updates für Reader und Acrobat bereit. Am 13. April hat Adobe Updates auf die Versionen 9.3.2 und 8.2.2 beider Programme veröffentlicht, die 15 Sicherheitslücken schliessen sollen.
Von den Schwachstellen sind laut Adobe Security Bulletin APSB10-09 die Versionen 9.3.1 (und frühere) für Windows, Mac und Unix sowie 8.2.1 (und frühere) für Windows und Mac betroffen. Der Versionszweig 8.x für Unix, einschliesslich Linux, wird nicht mehr unterstützt. Der überwiegende Teil der Lücken kann es Angreifern ermöglichen, mittels präparierter PDF-Dokumente Code einzuschleusen und auszuführen. Öffentlich verfügbarer Beispiel-Code für die Ausnutzung einer der Lücken oder gar reale Angriffe im Web sind derzeit nicht bekannt. Alle Sicherheitslücken wurden vertraulich an Adobe gemeldet. Der Hersteller empfiehlt dennoch die umgehende Installation der Updates. Es wäre nicht ungewöhnlich, wenn sich Onlinekriminelle auf die Suche nach Wegen zur Ausnutzung der Schwachstellen machten und binnen weniger Tage oder Wochen erfolgreich wären.
Neues Update-Verfahren
Adobe hat mit der Bereitstellung dieser Updates eine neue Aktualisierungsmethode frei geschaltet, die bereits seit Januar mit ausgewählten Beta-Testern erprobt worden ist. Dadurch will das Unternehmen erreichen, dass Sicherheits-Updates schneller und auf breiterer Basis installiert werden. Nach Untersuchungen von Sicherheitsunternehmen machen Angriffe auf PDF-Schwachstellen in veralteten Version des Adobe Reader bis zu 80 Prozent der Web-Attacken aus.
Adobe hat mit der Bereitstellung dieser Updates eine neue Aktualisierungsmethode frei geschaltet, die bereits seit Januar mit ausgewählten Beta-Testern erprobt worden ist. Dadurch will das Unternehmen erreichen, dass Sicherheits-Updates schneller und auf breiterer Basis installiert werden. Nach Untersuchungen von Sicherheitsunternehmen machen Angriffe auf PDF-Schwachstellen in veralteten Version des Adobe Reader bis zu 80 Prozent der Web-Attacken aus.
Anwender können die Art der Aktualisierung selbst steuern. Zur Auswahl stehen: automatische Installation (ohne Nachfrage), automatisches Herunterladen mit eigener Wahl des Installationszeitpunkts sowie das Abschalten der Update-Suche. Die erste Option wird von Adobe empfohlen und erlaubt das unterbrechungsfreie Weiterarbeiten, während ein Sicherheits-Update heruntergeladen und installiert wird. So ähnlich verfährt etwa Google Chrome schon von Anfang an. Die Update-Suche können Anwender über Hilfe > Nach Updates suchen anstossen, falls sie nicht automatisch erfolgt. Die Einstellungen dafür finden sich unter Bearbeiten > Voreinstellungen [8.x: Grundeinstellungen] > Updater.
