Google-Forscher warnen Nutzer vor Adobe-Reader-Lecks

SicherheitSicherheitsmanagement

Wer die neuesgen Patches von Adobe nicht installiert, setzt sich dem Risiko von Zero-Day-Lücken in Adobe Reader aus. Zwei Google-Security- Experten weisen darauf hin, dass die Lücken das Einschleusen und Ausführen von Schadcode ermöglichen – und Adobe noch nicht alle Lecks beseitigt hat.

Adobe hat Anfang der Woche bei einem Sicherheitsupdate für Reader und Acrobat einige Schwachstellen nicht gepatcht. Darauf haben die beiden Google-Mitarbeiter Mateusz Jurczyk und Gynvael Coldwind hingewiesen. Die Anfälligkeiten stecken vor allem in der Linux-Version von Adobe Reader. Einige der Probleme betreffen aber auch die Ausgaben für Windows und Mac OS X.

Im Fall der Linux-Version haben die beiden Sicherheitsforscher nach eigenen Angaben mit Adobe zusammen an Patches für 14 “neue eindeutige Abstürze” und neun “Testfälle” gearbeitet. Alle Lücken seien möglicherweise anfällig für das Einschleusen und Ausführen von Schadcode.

Adobe plane keine weitere Aktualisierung für Reader vor dem 27. August, so die Forscher weiter. Deswegen hätten sie sich entschlossen, mit den Informationen an die Öffentlichkeit zu gehen. “Adobe will die verbliebenen Bugs mit einem kommenden Update für die Linux-Version von Reader beseitigen”, schreiben Jurczyk und Coldwind in einem Blogeintrag. Die ersten 24 Fehler habe Adobe mit zwölf unterschiedlichen Code-Fixes behoben. Für die restlichen Probleme werde es wahrscheinlich weitere acht Fixes benötigen.

“Auch wenn uns keine Beweise dafür vorliegen, dass die Lücken schon ausgenutzt werden, sind wir beunruhigt”, heißt es weiter in dem Blogeintrag. Basierend auf den Unterschieden zwischen der alten und der jetzt gepatchten Windows-Version sei es ohne viel Aufwand möglich, einen funktionierenden Exploit zu entwickeln. “Wir gehen von einem ernsten Risiko für Nutzer von Adobe Reader aus.”

Die Anfälligkeiten seien mithilfe von frei erhältlichen PDF-Dokumenten gefunden worden. Sie seien dafür mit einfachen Algorithmen wie “Bitflipping” manipuliert worden. “Wir halten es für möglich, dass auf das Aufspüren von Fehlern und Schwachstellen spezialisierte Dritte schon von den Problemen wissen oder sie schon missbrauchen.”

Adobe hatte am Dienstag 20 Sicherheitslöcher in Reader und Acrobat für Windows und Mac OS X gestopft. Die Linux-Variante von Adobe Reader wird im zugehörigen Sicherheitsbulletin nicht erwähnt. Sie wurde zuletzt im April auf die Version 9.5.1 aktualisiert, die allerdings nur in englischer Sprache vorliegt. Deutschsprachige Anwender erhalten auf der Adobe-Website weiterhin die Version 9.4.2, die Adobe seit September 2011 als unsicher einstuft.

[mit Material von Tom Brewster, TechWeekEurope]