Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

09.01.2007

Großes Leck im Adobe Reader

Ältere Versionen des Adobe Reader enthalten eine gravierende XSS-Sicherheitsschwachstelle.

Publik gemacht wurde diese von Stefano di Paola und Giorgio Fedon auf einer Konferenz des Chaos Computer Club (CCC) zwischen den Jahren. Ein Feature des Adobe Reader namens "Open Parameters" erlaubt es, Clientseitig beliebigen Javascript-Code auszuführen. Dies ist prinzipiell mit jeder Website machbar, auf der eine PDF-Datei gehostet wird. "Es ist atemberaubend, wie einfach sich diese Schwachstelle ausnutzen lässt", warnt Hon Lau im Security Response Weblog von Symantec.

Adobe hat versprochen, für die noch weit verbreiteten Versionen 6 und 7 des Readers so schnell wie möglich Patches zu entwickeln. Alternativ können Anwender auch die neue Version 8 des Adobe Reader (http://www.adobe. com/de/products/acrobat/read step2.html) einspielen, die nicht betroffen ist. Di Paola und Fedon empfahlen bei der CCC-Veranstaltung darüber hinaus, typische Web-2.0-Applikationen - etwa G(oogle)mail oder Google Maps, die beide AJAX (Asynchronous Javascript and XML) verwenden - enger mit den Sicherheitsfunktionen von Web-Browsern zu verzahnen. Andernfalls könne die Vielfalt an Funktionen in diesen Anwendungen "von einem böswilligen Hacker in Waffen verwandelt werden", schreiben sie (http://events.ccc. de/congress/2006/Fahrplan/attach ments/1158-Subverting_Ajax. pdf). (tc)