Google-Forscher zeigt 15 kritische Bugs in Adobe Reader und Windows

Ein Sicherheitsforscher als Googles Project Zero Initiative hat auf einen Schlag 15 kritische Sicherheitslücken in Adobe Reader und Microsoft Windows vorgestellt. Eine ermöglicht es sogar, alle Sicherheitsvorkehrungen eines Systems zu umgehen. Sie wurden vor der Publikation ordnungsgemäß den Softwarefirmen gemeldet und von diesen gepatcht.

Alle 15 Schwachstellen stecken in Font-Management-Systemen, also der Verwaltung von Schriftarten. Entdecker Mateusz Jurczyk beschreibt sie in einem Blogbeitrag, hat aber auch auf der Sicherheitskonferenz Recon in in Montreal darüber referiert (PDF).

Diverse der Lücken ermöglichen es Angreifern, Zugriffsrechte zu erhöhen und aus der Ferne Code auszuführen. Die beiden schlimmsten, CVE-2015-3052 und CVE-2015-0093, befanden sich im Adobe Type Manager Font Driver, sowohl für 32-Bit- wie auch 64-Bit-Windows.

Als gefährlichste und interessanteste Lücke nannte Jurcyk gegenüber The Register einen „vollkommen zuverlässigen“ Exploit des BLEND-Befehls, der in einem Programmteil liegt, das Zeichenformen je nach Schriftgröße aufgrund von CharStrings bildet. Laut dem Forscher „umgeht er sämtliche modernen Exploit-Schutzverfahren im User- und Kernel-Mode“. Da er so mächtig sei und sowohl unabhängig von der Reader- als auch von der Windowsversion, lasse sich „mit einem einzigen Bug eine Exploit-Kette erstellen, die ein System vollständig kompromittiert.“

Eine Kompromittierung von Adobe Reader 11.0.10 mit der BLEND-Schwachstelle (CVE-2015-3052) zeigt Jurczyk auch in einem Youtube-Video, das zudem ein Entkommen aus einer Sandbox via Windows-Kernel demonstriert. Nicht zu sehen ist eine weitere CharString-Schwachstelle (CVE-2015-0090), die zusätzliche Rechte ermöglicht.

Die Google-Sicherheitsabteilung Project Zero hat entsprechend ihren Richtlinien auch schon ungepatchte Windows-Lücken öffentlich gemacht, wenn Microsoft nach ihrer Ansicht zu lange für einen Patch benötigte. Nach Kritik von Microsoft kündigte sie im Februar 2015 an, die Frist von bisher 90 Tagen zu verlängern – auch wenn etwa Adobe keine Probleme mit diesem Zeitrahmen hatte.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de