Google-Forscher macht Exploit für Adobe Reader öffentlich

SicherheitSicherheitsmanagement
Adobe Reader Logo mit Löchern (Bild: Adobe /ITespresso)

Die Sicherheitslücke wurde von Adobe bereits im September behoben. Nun hat James Forshaw von Googles Project Zero einen Exploit sowohl im Quelltext als auch kompiliert vorgelegt. Für Nutzer von Adobe Reader und Adobe Acrobat ist es daher jetzt allerhöchste Zeit, auf Version 11.0.9 umzusteigen.

James Forshaw von Googles Project Zero hat Details zu einer Sicherheitslücke in Adobe Acrobat sowie Adobe Reader für Windows veröffentlicht. Außerdem hat er Code vorgelegt, mit dem die Lücke ausgenutzt werden könnte. Anwender, die dies noch nicht getan haben, sollten nun umgehend das von Adobe im September bereitgestellte Sicherheitsupdate 11.0.9 einspielen, mit dem die Sicherheitslücke geschlossen wird.

 James Forshaw von Googles Project Zero hat Angriffscode für eine von Adobe im September geschlossene Lücke in Acrobat und Reader vorgelegt (Bild: Adobe).
James Forshaw von Googles Project Zero hat Angriffscode für eine von Adobe im September geschlossene Lücke in Acrobat und Reader vorgelegt (Bild: Adobe).

Sie erlaubt es Angreifern in Acrobat und Reader 11.0.8 aus der Sandbox auszubrechen und auf dem Zielrechner beliebigen nativen Code mit erweiterten Benutzerrechten auszuführen. Forshaw zufolge wurde der Ausbruch aus der Sandbox durch “eine Wettlaufsituation in der Behandlung des Hooks für den Aufruf von MoveFileEx” ermöglicht. Diesen Wettlauf könne der Prozess in der Sandbox gewinnen, wenn er mit OPLOCK den Punkt abwarte, an dem MoveFileEx die Originaldatei öffne, die umgezogen werden solle. Dann könne er eine beliebige Datei ins Dateisystem schreiben.

Der Forscher kritisiert, dass Adobe mit Version 11.0.9 die Wettlaufsituation genau genommen nicht aufhebe, sie aber “schwierig, wenn nicht unmöglich auszunutzen” mache. Adobe habe nämlich zusätzliche Verteidigungsmechanismen integriert. Der Hook lasse sich zudem nicht mehr missbrauchen um Abzweigungspunkten im Verzeichnissystem anzulegen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen