Ein Sicherheitsforscher von Google hat Details zu und Angriffscode für eine Lücke in Adobe Acrobat sowie Reader für Windows veröffentlicht. Anwender, die dies noch nicht getan haben, sollten nun schleunigst Adobes Sicherheitsupdate 11.0.9 vom September einspielen, das die Lücke beseitigt. Das US-CERT bewertet die Schwere der Schwachstelle mit 10 von 10 Punkten.
Die von Google-Mitarbeiter James Forshaw entdeckte Anfälligkeit in Acrobat und Reader 11.0.8 erlaubt es Angreifern, aus der Sandbox auszubrechen und auf dem Zielrechner beliebigen nativen Code mit erhöhten Benutzerrechten auszuführen. Die jetzige Veröffentlichung stammt ebenfalls von Forshaw, der Teil der Sicherheitsinitiative Project Zero ist. Er stellt mit anderen Unterlagen auch den Quelltext und eine kompilierte Version eines Angriffs zur Verfügung.
Forshaw zufolge wurde der Ausbruch aus der Sandbox durch „eine Wettlaufsituation in der Behandlung des Hooks für den Aufruf von MoveFileEx“ ermöglicht. Diesen Wettlauf könne der Prozess in der Sandbox gewinnen, wenn er mit OPLOCK den Punkt abwarte, bis MoveFileEx die Originaldatei öffne, die umgezogen werden solle. Dann könne er eine beliebige Datei ins Dateisystem schreiben.
Der Forscher merkt auch an, dass Version 11.0.9 die Wettlaufsituation streng genommen nicht behebt, sie aber „schwierig, wenn nicht unmöglich auszunutzen“ macht. Adobe habe nämlich zusätzliche Verteidigungsmechanismen integriert, und der Hook lasse sich nicht mehr fürs Anlegen von Abzweigungspunkten im Verzeichnissystem missbrauchen.
Mit Project Zero versucht Google, die Zahl der Lücken in verbreiteten Programmen zu reduzieren, die sie immer wieder anfällig für Zero-Day-Angriffe machen. Seine Entdeckungen speichert es in einer externen Datenbank. Lücken werden frühestens nach Freigabe eines Patches kommuniziert – oder 90 Tage, nachdem das verantwortliche Unternehmen informiert wurde.
James Forshaw gehört zu den erfolgreichsten Suchern nach Schwachstellen im Microsoft-Ökosystem. Im Oktober 2013 erhielt er beispielsweise 9400 Dollar Prämie von Microsoft für fünf im Internet Explorer 11 entdeckte Anfälligkeiten sowie 100.000 Dollar für eine Windows-Lücke: Es war ihm gelungen, eine neue Methode zur Umgehung der Sicherheitsmaßnahmen des Betriebssystems zu beschreiben. Microsoft kündigte damals an, mithilfe seiner Erkenntnisse künftige Versionen seiner Produkte zu verbessern. Davon soll auch Software von Drittanbietern profitieren.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
