Ein Sicherheitsforscher als Googles Project Zero Initiative hat auf einen Schlag 15 kritische Sicherheitslücken in Adobe Reader und Microsoft Windows vorgestellt. Eine ermöglicht es sogar, alle Sicherheitsvorkehrungen eines Systems zu umgehen. Sie wurden vor der Publikation ordnungsgemäß den Softwarefirmen gemeldet und von diesen gepatcht.
Diverse der Lücken ermöglichen es Angreifern, Zugriffsrechte zu erhöhen und aus der Ferne Code auszuführen. Die beiden schlimmsten, CVE-2015-3052 und CVE-2015-0093, befanden sich im Adobe Type Manager Font Driver, sowohl für 32-Bit- wie auch 64-Bit-Windows.
Eine Kompromittierung von Adobe Reader 11.0.10 mit der BLEND-Schwachstelle (CVE-2015-3052) zeigt Jurczyk auch in einem Youtube-Video, das zudem ein Entkommen aus einer Sandbox via Windows-Kernel demonstriert. Nicht zu sehen ist eine weitere CharString-Schwachstelle (CVE-2015-0090), die zusätzliche Rechte ermöglicht.
Die Google-Sicherheitsabteilung Project Zero hat entsprechend ihren Richtlinien auch schon ungepatchte Windows-Lücken öffentlich gemacht, wenn Microsoft nach ihrer Ansicht zu lange für einen Patch benötigte. Nach Kritik von Microsoft kündigte sie im Februar 2015 an, die Frist von bisher 90 Tagen zu verlängern – auch wenn etwa Adobe keine Probleme mit diesem Zeitrahmen hatte.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…