Auch Linux-Version anfällig: Hacker nutzen 0-Day-Schwachstelle in Adobe Reader aus

7 Dezember 2011 16 Kommentare Autor: Jürgen (jdo)

Adobe Sicherheit SecurityAdobe hat eine ungeschlossene (0-Day) Lücke bestätigt, die angeblich bereits aktiv ausgenutzt wird. Für Version 9 des Reader und Adobe Acrobat will man bis Ende nächster Woche einen Flicken zu Verfügung stellen – Allerdings nur für die Windows-Ausgabe. Der Patch wird der sechste für Reader und Acrobat dieses Jahr sein.

In der Sicherheits-Anweisung von Adobe ist zu lesen, dass eine kritische Schwachstelle in Adobe Reader X (10.1.1), Acrobat X (10.1.1) und früher für Windows und Macintosh gefunden wurde. Ebenso sind Adobe Reader 9.4.6 und frühere 9.x-Ausgaben für Unix/Linux betroffen. Die Sicherheitslücke könnte die Applikation zum Absturz bringen und Angreifer könnten sich Kontrolle über das betroffene System verschaffen.

Laut Adobe wird die Lücke aktiv ausgenutzt. Man spielt die Sicherheitslücke herunter, indem man von wenigen, gezielten Angriffe auf die Reader-Version 9.x unter Windows spricht. Weitere Informationen hat der Software-Hersteller nicht ausgegeben. Es ist also nicht bekannt, wie lange die Angriffe schon anhalten und wer genau angegriffen wurde.

Der Fehler wird als U3D memory Corruption Vulnerability bezeichnet. U3D steht für Universal 3D und ist ein komprimiertes Dateiformat für 3D-Grafiken, dass unter anderem von Adobe, Intel und Hewlett Packard verwendet und gefördert wird.

Reader-Sicherheitslücken werden in der Regel durch speziell manipulierte PDF-Dateien ausgenutzt, die an Anwender gesendet werden. Wenn der Empfänger die Datei öffnet, führt sich der schädliche Code aus.

Wie schon erwähnt soll ein Flicken für 9.x für Windows Ende nächster Woche bereit stehen. Ein Update für Reader und Acrobat X für Windows und Mac OS X wird es nicht vor 10. Januar 2012 geben. Reader X enthalte eine Anti-Exploit Sandbox, die die Anwendung von der restlichen Computer-Umgebung trennt, rechtfertigt Adobe diese Entscheidung.

Ebenso müssen Unix- und Linux-Anwender auf ein Update warten. Diese und Mac-Anwender seien wesentlich weniger gefährdet. Angriffe seien bisher nur für Windows-PCs registriert worden.



Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren


Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

16 Kommentare zu “Auch Linux-Version anfällig: Hacker nutzen 0-Day-Schwachstelle in Adobe Reader aus”

  1. happy-gregor sagt:

    also wer unter linux den adobe acrobat verwendet ist selber schuld wenn er auf einen "flicken" warten muss :-)

    • jdo sagt:

      gibt es nen Linux-Reader mit dem man diese PDF-Formulare mit Adobe erzeugten Produkten abspeichern kann? Oder geht das mit Adobe Reader auch nicht ... hmmmm ...

      • happy-gregor sagt:

        im sinne des readers (adobe oder so) kann man keine formulare abspeichern. linux hat dazu auch andere produkte siehe: http://wiki.ubuntuusers.de/PDF

        • jdo sagt:

          ok, aber ich weiß aus eigener Erfahrung, dass Firmen zum Beispiel Briefing-Formulare mit ausfüllbaren Feldern ausliefern. Diese Datei kann ich dann durch einen Knopf am Ende des Formulars wieder abspeichern und einfach zurückschicken.

          Einem Normalo-Anwender kann ich wohl kaum klar machen, dass dieser nun LaTeX aufmachen muss.

          Ich will hier keinen Flameware wegen offener Formate anfangen, da ich selbst ein großer Verfechter von offenen Standards bin. Aber manchmal muss man zu Gunsten des Workflows in den saueren Apfel beißen - finde ich.

          • stfischr sagt:

            Hi.

            Man kann einfach mit Tools wie Xournal in jedes beliebige PDF rein schreiben. Falls die ihre Felder allerdings danach digital auswerten möchten, könnten sie Probleme kriegen. Muss man mal schauen, welche PDF-Viewer solche Felder unterstützen. Ich glaube aber, dass ich schonmal was über einen PDF-Viewer (den aus KDE?) gelesen hab, der das können soll.

            PS: PDF ist ein offenes Format

            Aber für Formulare etc gibt es nun wirklich praktischere Dinge als so ein komisches PDF durch die Gegend zu schicken.

          • jdo sagt:

            "Aber für Formulare etc gibt es nun wirklich praktischere Dinge als so ein komisches PDF durch die Gegend zu schicken"

            Ich bin da Deiner Meinung, aber das musst Du aber den Firmen erzählen, die so komische Formulare durch die Gegend schicken :)

          • stfischr sagt:

            Du sagst es. Aber PDF mit Formular ist da noch das harmloseste. Neulich hab ich von jemand ein Screenshot vom Terminal in ein PDF eingebettet bekommen. :’-(((

          • jdo sagt:

            oh, diese Spezialisten ... sehr beliebt ist es auch in ein Word-Dokument zu integrieren ...

  2. Maltris sagt:

    Also wer einen Reader von Adobe auf einem Linux-System verwendet ist entweder zwei Tage zuvor Windows-Nutzer gewesen oder einfach dämlich.

    Picture related: http://anachronicworks.files.wordpress.com/2011/11/fuck_that_shit_re_scarry_shit-s2550x3300-170683.png

    • jdo sagt:

      Das ist genau die Einstellung, die Anwender überzeugt, nicht auf Linux zu wechseln. Ich habe oben schon erwähnt, dass man aus Gründen der Anwenderfreundlichkeit manchmal in den sauren Apfel beißen muss.

      Ich kann kaum Leuten, mit denen ich Geschäfte machen will erzählen: "Den Dreck braucht ihr mir gar nicht schicken, ich will nicht mehr mit Euch arbeiten und Geld von Euch haben" - also können schon, aber das wäre genauso dämlich.

      Wer Microsoft Office unter Linux einsetzt ist wahrscheinlich in Deinen Augen genauso ein Idiot. Ich verwende es aber, weil ich keine Wahl habe. Das Redaktions-System von bestimmten Magazinen nimmt nur mit MS-Office generierte RTFs an. Somit könnte ich nun aus moralischen Gründen kündigen, oder in den sauren Apfel "CrossOver + MS-Office" beißen. Ich hab mich für letzteres entschieden ...

      • BajK sagt:

        Dann würde ich mir mal Gedanken machen, mit was für Redaktionssystemen ihr arbeitet …
        Genauso, wie diese idiotischen Programme, die nur mit MS Office funktionieren, weil es für LibreOffice angeblich keine Serienbriefschnittstelle gibt … wer’s glaubt.

        • jdo sagt:

          Nicht IHR - sondern die Firmen, für die ich als Freelancer arbeite.

          Ich habe nur zwei Möglichkeiten:
          - Entweder ich verwende den Mist, halte die Klappe und schieb die Kohle ein
          - oder ich lasse es

          Ich bin ja generell der gleichen Meinung. Aber ich sage nun zu dritten Mal, dass man manchmal eben keine andere Chance hat. In einer idealen Welt wäre alles Open-Source - die Realität schaut aber anders aus. Ich weiß gerade nicht genau, was es dabei nicht zu begreifen gibt.

          • _nico sagt:

            Hi Jürgen,
            ich kann es sehr gut nachvollziehen! Manchmal liegt es am Anwender, manchmal liegt es an der Software und manchmal gibt es aus finanzieller Hinsicht keine anderen Möglichkeiten!

            (@BajK, ja manchmal sind MS Office Lizenzen günstiger als ein komplett neues Redaktionssystem einzuführen oder Softwareentwickler zu finanzieren, um die Software auch vernünftig mit LibreOffice zum Laufen zu bringen!)

            Ich selbst bin seit einigen Jahren Linux- sowie Mac-User. Ich versuche auch so viel wie möglich in LibreOffice zu erledigen, aber manchmal geht einfach kein Weg an M$ Office vorbei - das ändert sich vielleicht irgendwann!

            Gebt mir 48 Stunden am Tag und ich kann dann vielleicht alles in LibreOffice tun - weil ich mich dann intensiver mit der Office-Suite auseinandersetzen kann - aber diese 48 Stunden hat keiner von uns.

            Viele Grüße
            Nico

          • jdo sagt:

            Wie Du schon sagst, liegt es ja nicht unbedingt am Wollen.

            Mein Meinung: In erster Linie geht es in dieser Zeit, Anwender erst einmal von Open-Source-Software zu überzeugen. Auf welchem OS die laufen ist zunächst gar nicht so wichtig. Wenn der Anwender dann zum Großteil die freie Software einsetzt, die es auch auf Linux gibt, besteht kein Grund mehr, Windows einzusetzen.

            Viele unken über "das Jahr des Linux-Desktops" - der wird so lange nicht kommen, so lange es Leute gibt, die die Wünsche der Anwender nicht erfüllen. Manche wollen einfach nur ein OS, das schmerzfrei meine Anforderungen erfüllt.

            Mir gehen die Leute wirklich auf den Geist, die einerseits Linux fördern wollen, auf der anderen Seite jegliche proprietäre Software ablehnen. Im Prinzip haben sie ja Recht, aber mit der Realität hat das überhaupt nichts zu tun. So bald es genug Anwender gibt, kann man Forderungen stellen, die besser gehört werden, als wenn ein Marketing-Heini das OS als Frickel-System abtut.

            Das Gute an Linux ist - man hat diese Entscheidung. Aber wer langfristig Linux auf dem Desktop eine Chance geben will, muss erst einmal mit den Wölfen heulen. Wenn der Wolf dann groß ist, dann kann man nach unten knurren.

  3. [...] alle Anwender verteilt werden können. Hin und wieder kommt es auch vor, dass Lücken, wie jüngst im Adobe Reader, unter Linux erst deutlich später als unter Windows behoben werden. Wirklich entscheidend ist, wie [...]

Antworten