Adobe veröffentlicht seine Sicherheits-Updates meist am gleichen Tag wie Microsoft. Den neuen Flash Player 15 hatte Adobe parallel am 9. September bereit gestellt. Wegen Software-Fehlern der PDF-Produkte Reader und Acrobat, die bei der Qualitätssicherung aufgefallen waren, sind die Updates, die bereits angekündigt waren, erst mit einer Woche Verzögerung erhältlich gewesen.

In der neuen Version 11.0.09, in der acht Sicherheitslücken beseitigt wurden, sind Adobe Reader und Acrobat XI nun verfügbar. Um beliebigen Code einzuschleusen und auszuführen sind fünf der Lücken geeignet. Dieses Problem verschärft eine weitere Schwachstelle (CVE-2014-0568): Um unter Windows die Sandbox zu umgehen und eingeschleusten Code mit erhöhten Berechtigungen auf Systemebene auszuführen, kann diese ausgenutzt werden.

Die so genannte Sandbox, eine abgesicherte Laufzeitumgebung, bringen die Windows-Versionen des Adobe Reader X und XI mit. PDF-Dateien werden in ihr geladen und eventuell enthaltener Code wie Flash/SWF oder Javascript ausgeführt. Damit soll verhindert werden, dass mit präparierten PDF-Dateien eingeschleuster Code auf Systemebene wirksam werden kann.

Aus einer DoS-Lücke (Denial of Service) und aus einer UXSS-Lücke (Universal Cross-site Scripting), die nur unter Mac OS X auftritt, bestehen die beiden übrigen Schwachstellen. Für alle Produktversionen und Plattformen gibt Adobe die höchste Dringlichkeitsstufe. Um vor Angriffen besser geschützt zu sein, sollten die Updates also so schnell wie möglich eingespielt werden.

(ts, hannover)

(siehe auch tecchannel-News:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE