Adobe schließt PDF-Lücken in Reader und Acrobat

"Adobe hat Sicherheits-Updates für seine PDF-Software Reader und Acrobat bereit gestellt. Damit beseitigt der Hersteller vier als kritisch eingestufte Sicherheitslücken. Außerdem hat Adobe das integrierte Flash-Modul aus der 9.x-Version entfernt.
Die neuen Versionen Adobe Reader X  und Acrobat X 10.1.3 für Windows und Mac stuft Adobe als Updates mit der Priorität 2 ein, ebenso die Updates für den technisch älteren Versionszweig 9.x für Mac und Linux. Lediglich die Windows-Versionen 9.5.1 des PDF-Betrachters Adobe Reader und des PDF-Editors Acrobat erhalten die Priorität 1. Begründung: Adobe Reader 9.x für Windows ist das Hauptziel für Angriffe mit PDF-Exploits, die beim Reader X meist durch die integrierte Sandbox abgefangen werden.
 
In allen neuen Versionen hat Adobe vier Sicherheitslücken beseitigt, die als kritisch eingestuft sind. Sie können es einem Angreifer ermöglichen die Software zum Absturz zu bringen, dabei Code einzuschleusen und auszuführen. Es handelt sich um zwei Schwachstellen in der Javascript-Unterstützung sowie je eine beim Umgang mit Truetype-Fonts und im Installationsprogramm des Adobe Reader."
 

"Bei den am 10. April bereit gestellten Updates handelt es sich um turnusmäßige Aktualisierungen, deren Termin lange feststand. In Zukunft will Adobe den bisherigen quartalsweisen Update-Turnus durch bedarfsgesteuerte Aktualisierungen ersetzen, die drei Werktage vor der Bereitstellung angekündigt werden sollen. Damit folgt Adobe der Vorgehensweise Microsofts bei dessen monatlichen Patch Day. Es soll auch beim zweiten Dienstag eines Monats als Bereitstellungstermin bleiben, sofern keine Dringlichkeit (etwa durch 0-Day-Angriffe) gegeben ist.
 
Die neuen Versionen 9.5.1 (Reader und Acrobat) für Windows und Mac enthalten keinen integrierten Flash Player (authplay.dll) mehr. Stattdessen nutzen sie ein vorhandenes Flash Plug-in für Firefox und Co. Fehlt dieses auf dem System, wird beim Öffnen einer PDF-Datei mit Flash-Inhalten ein Dialog angezeigt, der den Download der aktuellen Version des Flash Player anbietet. Damit soll die Notwendigkeit für Updates der PDF-Software entfallen, wenn der Flash Player aktualisiert wird. Auch Adobe Reader X und Acrobat X sollen in naher Zukunft mit der NPAPI-Schnittstelle (Netscape Plugin Application Programming Interface) ausgestattet werden.
 
Außerdem ist die Darstellung eingebetteter 3D-Inhalte in den 9.5.1-Versionen standardmäßig deaktiviert, kann jedoch vom Benutzer eingeschaltet werden. Dann weist eine gelbe Warnleiste auf potenziell gefährliche Inhalte der PDF-Dateien hin. Präparierte PDF-Dateien mit 3D-Inhalten sind bereits für Angriffe mit schädlichem Code benutzt worden."
 
Quelle: pcwelt

Category: Bugfix/Update