Adobe will noch in dieser Woche ein Sicherheitsloch in »Acrobat Reader« und »Acrobat« stopfen. IT-Sicherheitsfachleute schätzen die Lücke als gefährlich ein.

Weisen die Sicherheitslücke nicht auf: Version 8 von Acrobat und Acrobat Reader.

Betroffen sind alle Ausgaben von »Acrobat« und »Acrobat Reader« bis hin zur Version 7.0.8. Eine »Cross-Site-Scripting«-Schwachstelle (XSS) erlaubt es einem Angreifer, eigenen Javascript-Code während einer Browser-Sitzung auszuführen.

Dazu muss der Hacker sein Opfer dazu bringen, eine URL anzuklicken, die auf einen PDF-File verweist. Problematisch ist nach Angaben von Jeremiah Grossman, Cheftechniker der Sicherheitsfirma Whitehat Security, dass sich der Link so modifizieren lässt, dass er dem Angreifer den Zugang zum lokalen System des Nutzers eröffnet.

Das Loch tritt dann auf, wenn ein User bestimmte Kombinationen von Web-Browser und Acrobat-Software verwendet. Tests von Verisign iDefense etwa ergaben, dass das Gespann Internet Explorer 6.x und Acrobat/Acrobat Reader bis Version 6.0.1 verwundbar ist. Gleiches gilt für Firefox 1.5.0.8 und 2.0.0.1.

Dagegen war die Lücke nicht vorhanden, wenn der IE 6.x im Zusammenspiel mit Acrobat 7.x eingesetzt wurde. Beim Einsatz von Opera 9.x zusammen mit Acrobat/Acrobat Reader 7.0.8 trat das Loch dagegen auf.

Adobe empfiehlt Anwendern, auf die neue Version 8 von Acrobat Reader beziehungsweise Acrobat umzusteigen. Diese weist den Bug nicht auf.

Zumindest beim Reader, der kostenlos erhältlich ist, stellt das kein Problem dar. Anders bei der kostenpflichtigen Software »Acrobat«. Wer nicht auf Ausgabe 8 upgraden möchte, muss somit auf den Patch für Version 7.x warten.

Security-Advisory von Adobe zur XSS-Lücke