Adobe kündigt Not-Patch für den Reader an

SicherheitSicherheitsmanagement

Schon nächste Woche soll es ein dringendes und außerplanmäßiges Update für den Adobe Reader geben, um ihn gegen die jüngst aufgetauchten PDF-Angriffe zu stählen.

Adobe veröffentlichte einen Security Alert, um Nutzer und Kunden auf den kommenden Patch aufmerksam zu machen. Der sollte unbedingt installiert werden, um eine kritische Lücke im Reader zu schließen. Das gelte übrigens für alle Plattformen.

Die Schwachstelle, die von Angreifern für das Einschleusen von Schadcode ausgenutzt werde, verberge sich in den TrueType-Schriften, die nach einem Integer-Overflow-Fehler durch eine manipulierte Schrift austauschbar wären. So werden PDF-Dokumente infiziert und bei ihrer Ausführung der fremde Code aktiv. Das Problem wurde ursprünglich von Charlie Miller entdeckt, einem führenden Analysten von Independent Security Evaluators. Er legte das Problem ausführlich bei der jüngsten Black-Hat-Konferenz dar (PDF-Dokument).

Da diese detaillierten Hinweise ausreichen können, um einem talentierten Cracker den Weg zur PDF-Manipulation zu weisen, wurde der Security-Patch so dringend. Adobe verspricht auf seinem Security-Blog, die auf der Konferenz geschilderten Möglichkeiten alle abzufangen. Das Update werde gleichzeitig für Windows, Mac OS und Unix veröffentlicht