Schlupfloch Adobe Reader

Vorsicht: Polymorphe Schädlings-PDFs

06.11.2008
Von Katharina Friedmann 
Der deutsche Sicherheitsanbieter Avira warnt vor Exploit-Kits, die sich ständig verändernde PDF-Dateien erzeugen, um Erkennungsmechanismen von Security-Software auszutricksen und so Schadcode auf die Opfersysteme zu schleusen.

Nach Angaben der Virenanalysten von Avira werden die Schädlinge Web-Nutzern via Drive-by-Download untergeschoben. Dazu hacken Kriminelle zunächst harmlose Web-Seiten, um dort eine Verknüpfung zu ihrem Exploit-Kit namens "El-Fiesta" einzubinden. Letzteres sucht dann auf dem Opfersystem nach Softwareschwachstellen und nutzt diese gezielt aus.

Die infektiösen PDF-Dateien eine bereits bekannte Sicherheitslücke (CVE-2007-5659) in Adobe Reader 8.1.1 und älteren Versionen zunutze. Durch den Bug kommt es beim Verarbeiten überlanger Argumente in Javascript-Funktionen zu Buffer-Overflows. Provoziert ein Javascript in einem PDF-Dokument einen Pufferüberlauf, kann es Schadcode - etwa einen Trojaner - in den Speicher schreiben, der anschließend vom System ausgeführt wird.

Anwender sollten ihre Betriebssysteme, Anwendungen und Anti-Malware-Lösungen dringend auf dem neusten Stand halten. Adobe hat gestern das Update auf Adobe Reader Version 8.1.3 herausgeben, in der die Schwachstelle behoben ist. Auch die Reader-Version 9 ist dafür nicht anfällig.