Lücke: Adobe Reader und Acrobat 6.01 lassen Code durch
Nach Erkenntnis von iDefense hat sich in der Adobe-Software die Aufteilung der Dateinamen in mehrere Komponenten als problematisch erwiesen. Die Funktion zum Teilen des Dateinamens verursacht unter Umständen einen Fehler beim Parsen, wenn in der Zeichenfolge eine "0" auftaucht. Ein erfolgreicher Angreifer könnte dies zu einem Pufferüberlauf nutzen und Code innerhalb der lokalen Benutzerrechte ausführen. Zuvor muss allerdings eine präparierte PDF-Datei vom Benutzer geöffnet werden.
Betroffen ist der kostenlos erhältliche Adobe Reader 6.0.1 und auch Acrobat 6.01. Abhilfe schaffen jeweils die neuesten Releases von Acrobat und Reader in den Versionen 6.02. Adobe hat laut iDefense den Fehler bestätigt und mit der Version 6.02 bereits am 7. Juli behoben. Laut iDefense stehe der Satz "Security update to further restrict malicious code execution" im Chaneglog für die Beseitigung der beschriebenen Lücke. Weitere Erklärungen habe Adobe nicht abgegeben.
Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (bsc)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Sicherheit |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50 % billiger als Buch) |