DoS-Lücke in Acrobat 9

Der Sicherheitsforscher Jeremy Brown hat eine mögliche Sicherheitslücke in ActiveX-Komponenten entdeckt, die mit dem Adobe Reader 9 installiert werden. Brown hat mit dem Einbetten verschiedener Links in Webseiten experimentiert und dabei anfällige URL-Handler entdeckt, die den Internet Explorer zum Einfrieren oder Abstürzen bringen können. Allerdings scheint das nur unter Vista zu klappen, nicht unter Windows XP.

Jeremy Brown, der schon Sicherheitslücken in verschiedenen Programmen aufgedeckt hat, baut in eine Webseite eine Script-gesteuerte Weiterleitung auf eine URL wie "acroie:///irgendwas" ein. Ist ein anfälliges ActiveX-Steuerelement installiert, kann der Aufruf einer solchen Seite zum Absturz des Internet Explorers führen. Ob auf diesem Wege auch Code eingeschleust und ausgeführt werden kann, ist noch unklar.

Jeremy Brown hat Beispielcode veröffentlicht, der die Ausnutzung der Schwachstelle demonstriert. Eine Stellungnahme von Adobe steht noch aus. Ein Update oder Workaround, das die Ausnutzung der Lücke verhindert, ist nicht bekannt. Sie können allenfalls auf andere Browser und/oder andere PDF-Viewer ausweichen, etwa Firefox oder Opera beziehungsweise den Foxit Reader. (PC-Welt/mja)