Ein Sicherheitsforscher von Google hat Details zu und Angriffscode für eine Lücke in Adobe Acrobat sowie Reader für Windows veröffentlicht. Anwender, die dies noch nicht getan haben, sollten nun schleunigst Adobes Sicherheitsupdate 11.0.9 vom September einspielen, das die Lücke beseitigt. Das US-CERT bewertet die Schwere der Schwachstelle mit 10 von 10 Punkten.
Die von Google-Mitarbeiter James Forshaw entdeckte Anfälligkeit in Acrobat und Reader 11.0.8 erlaubt es Angreifern, aus der Sandbox auszubrechen und auf dem Zielrechner beliebigen nativen Code mit erhöhten Benutzerrechten auszuführen. Die jetzige Veröffentlichung stammt ebenfalls von Forshaw, der Teil der Sicherheitsinitiative Project Zero ist. Er stellt mit anderen Unterlagen auch den Quelltext und eine kompilierte Version eines Angriffs zur Verfügung.
Forshaw zufolge wurde der Ausbruch aus der Sandbox durch „eine Wettlaufsituation in der Behandlung des Hooks für den Aufruf von MoveFileEx“ ermöglicht. Diesen Wettlauf könne der Prozess in der Sandbox gewinnen, wenn er mit OPLOCK den Punkt abwarte, bis MoveFileEx die Originaldatei öffne, die umgezogen werden solle. Dann könne er eine beliebige Datei ins Dateisystem schreiben.
Der Forscher merkt auch an, dass Version 11.0.9 die Wettlaufsituation streng genommen nicht behebt, sie aber „schwierig, wenn nicht unmöglich auszunutzen“ macht. Adobe habe nämlich zusätzliche Verteidigungsmechanismen integriert, und der Hook lasse sich nicht mehr fürs Anlegen von Abzweigungspunkten im Verzeichnissystem missbrauchen.
Mit Project Zero versucht Google, die Zahl der Lücken in verbreiteten Programmen zu reduzieren, die sie immer wieder anfällig für Zero-Day-Angriffe machen. Seine Entdeckungen speichert es in einer externen Datenbank. Lücken werden frühestens nach Freigabe eines Patches kommuniziert – oder 90 Tage, nachdem das verantwortliche Unternehmen informiert wurde.
James Forshaw gehört zu den erfolgreichsten Suchern nach Schwachstellen im Microsoft-Ökosystem. Im Oktober 2013 erhielt er beispielsweise 9400 Dollar Prämie von Microsoft für fünf im Internet Explorer 11 entdeckte Anfälligkeiten sowie 100.000 Dollar für eine Windows-Lücke: Es war ihm gelungen, eine neue Methode zur Umgehung der Sicherheitsmaßnahmen des Betriebssystems zu beschreiben. Microsoft kündigte damals an, mithilfe seiner Erkenntnisse künftige Versionen seiner Produkte zu verbessern. Davon soll auch Software von Drittanbietern profitieren.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…