Google-Forscher macht Exploit für Adobe Reader öffentlich

James Forshaw von Googles Project Zero hat Details zu einer Sicherheitslücke in Adobe Acrobat sowie Adobe Reader für Windows veröffentlicht. Außerdem hat er Code vorgelegt, mit dem die Lücke ausgenutzt werden könnte. Anwender, die dies noch nicht getan haben, sollten nun umgehend das von Adobe im September bereitgestellte Sicherheitsupdate 11.0.9 einspielen, mit dem die Sicherheitslücke geschlossen wird.

Sie erlaubt es Angreifern in Acrobat und Reader 11.0.8 aus der Sandbox auszubrechen und auf dem Zielrechner beliebigen nativen Code mit erweiterten Benutzerrechten auszuführen. Forshaw zufolge wurde der Ausbruch aus der Sandbox durch “eine Wettlaufsituation in der Behandlung des Hooks für den Aufruf von MoveFileEx” ermöglicht. Diesen Wettlauf könne der Prozess in der Sandbox gewinnen, wenn er mit OPLOCK den Punkt abwarte, an dem MoveFileEx die Originaldatei öffne, die umgezogen werden solle. Dann könne er eine beliebige Datei ins Dateisystem schreiben.

Der Forscher kritisiert, dass Adobe mit Version 11.0.9 die Wettlaufsituation genau genommen nicht aufhebe, sie aber “schwierig, wenn nicht unmöglich auszunutzen” mache. Adobe habe nämlich zusätzliche Verteidigungsmechanismen integriert. Der Hook lasse sich zudem nicht mehr missbrauchen um Abzweigungspunkten im Verzeichnissystem anzulegen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.