08.11.2010
Sicherheit
Weitere üble Lücke in Adobe Reader
Autor: Dorothee Chlumsky
Adobe Reader hat eine zweite schwere Sicherheitslücke, die Angreifer ausnutzen können, um sich Zugriff auf einen betroffenen PC zu erschleichen. Acrobat ist diesmal nicht betroffen.
Der neue Softwarefehler betrifft ein Sicherheitsproblem mit Javascript in Adobe Reader. Adobe selbst warnt vor der Schwachstelle: Sie könne das Programm dazu bringen, den Dienst zu verweigern (Denial of Service). Man habe noch keinen Anwendungsfall gesehen, bei dem Kriminelle einem PC schädlichen Code unterschieben, dies sei aber möglich. Erst vor etwas mehr als einer Woche war eine schwer wiegende Lücke in Adobe Reader und Acrobat offenbar geworden, die auf ein Sicherheitsproblem in Flash zurückgeht.
Um sich vor dem neuen Sicherheitsproblem zu schützen, empfiehlt Adobe Administratoren, das Javascript-Blacklisting zu nutzen. Threatpost zufolge hat Adobe dieses System etabliert, um schädliche Programmierschnittstellen (APIs) an der Ausführung zu hindern. Administratoren müssen die Blackliste von Hand bestücken, damit sie wirksamen Schutz bietet. Adobe gibt im Sicherheitshinweis eine detaillierte Anweisung, wie das geht.
Privatnutzer, die keine eigene Javascript-Blackliste betreiben, sollten einstweilen besondere Vorsicht im Umgang mit PDF-Dateien walten lassen und nur PDFs öffnen, die aus vertrauenswürdiger Quelle stammen.
Mit der neuen Schwachstelle gibt es in Adobe Reader zwei ungepatchte Sicherheitslücken, drei weitere Produkte haben in den vergangenen Wochen Updates erhalten:
- Adobe Reader: Eine offene Lücke (Javascript), eine Lücke soll in der Woche des 15. November geschlossen werden (Flash). Aktuelle Version: 9.4
- Adobe Acrobat: Eine Lücke soll in der Woche des 15. November geschlossen werden (Flash). Aktuelle Version: 9.4/ 10.0
- Flash: Eine Lücke frisch geschlossen. Aktuelle Version: 10.1.102.64
- Adobe Shockwave: eine Lücke frisch geschlossen, eine weitere offen. Aktuelle Version: 11.5.9.615
- Adobe Indesign: Frisch geschlossene Lücken in Indesign, Indesign Server und Incopy. Nähere Informationen zu den Updates im Sicherheitshinweis
Wann Adobe die oben beschriebene Schwachstelle behebt, die aus Problemen im Umgang mit Javaskript resultiert, ist nicht bekannt. Der nächste reguläre Patchday für Adobe-Produkte wäre erst in der ersten Januarwoche 2011.
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Konferenz
Wird generative KI Software-Ingenieure ersetzen? DWX-Keynote
Auf der Developer Week '24 wird Professor Alexander Pretschner von der TU München eine der Keynotes halten. Er klärt auf, ob Ihr Job in Gefahr ist.
>>
Test-Framework
Testautomatisierung mit C# und Atata
Atata ist ein umfassendes C#-Framework für die Web-Testautomatisierung, das auf Selenium WebDriver basiert. Es verwendet das Fluent Page Object Pattern und verfügt über ein einzigartiges Protokollierungssystem sowie Trigger-Funktionalitäten.
>>
Programmiersprache
Primärkonstruktoren in C# erleichtern den Code-Refactoring-Prozess
Zusammenfassen, was zusammen gehört: Dabei helfen die in C# 12 neu eingeführten Primärkonstruktoren, indem sie Code kürzer und klarer machen.
>>