Noch kein Patch

Adobe-Sicherheitslücke wird seit Januar attackiert

24.02.2009
Von 
Thomas Cloer war Redakteur der Computerwoche.
In den Adobe-Programmen Adobe Reader und Acrobat gibt es schon seit einiger Zeit eine gefährliche Sicherheitslücke. Ein Patch lässt allerdings auf sich warten.

Das Leck war Ende vergangener Woche erstmals richtig öffentlich geworden. Der Security-Anbieter Symantec teilte mit, er habe Adobe am 12. Februar über das Sicherheitsproblem informiert. Gestern gab allerdings Sourcefire bekannt, eine Analyse seiner Malware-Datenbanken zeige, dass Hacker die Schwachstelle bereits seit mehr als sechs Wochen angreifen. Entsprechende Samples reichten zurück bis mindestens zum 9. Januar.

Der Fehler betrifft sowohl die Windows- als auch die Mac-Version von Adobe Reader und Acrobat und hängt mit der Art und Weise zusammen, wie die Programme Dateien öffnen, die mit dem Algorithmus JBIG komprimiert wurden. Adobe will erst am 11. März einen entsprechenden Patch bereitstellen. Bis dahin können sich Anwender mit einer inoffiziellen Korrektur von Sourcefire oder damit behelfen, dass sie JavaScript in den Adobe-Applikationen abschalten (falls sie nicht darauf angewiesen sind).