News Adobe: Sicherheitslücke in Adobe Reader und Acrobat
- Ersteller KIDH
- Erstellt am
KIDH
Grand Admiral Special
<div class="newsfloatleft"><img src="http://www.planet3dnow.de/photoplog/images/41217/medium/2_adobereader.png"></img></div>Softwarehersteller Adobe warnt vor einer kritischen Sicherheitslücke in seinem Adobe Reader und in Acrobat. Die Schwachstelle (CVE-2010-2883) kann einen Absturz der Anwendung und unter Umständen einem Angreifer erlauben Kontrolle über das betroffene System zu erlangen. Betroffen sind Adobe Reader 9.3.4 für Windows, Mac OS X, Unix und früher sowie Adobe Acrobat 9.3.4 und früher.
Laut Adobe wird die Schwachstelle schon aktiv ausgenutzt, jedoch sei man bereits dabei Update-Vorbereitungen vorzunehmen. Man empfiehlt, wie immer, den Nutzern, ihre Anti-Malware Software und entsprechende Definitionen auf dem aktuellen Stand zu halten.
Ob es einen außerplanmäigen Patch gibt oder die Lücke erst mit dem Patchday am 12. Oktober geschlossen wird, gab Adobe nicht bekannt.
<b>Links zum Thema:</b>
<ul><li><a href="http://www.adobe.com/support/security/advisories/apsa10-02.html" target="b">Security Advisory for Adobe Reader and Acrobat (APSA10-02)</a></li><li><a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?id=1283304558">Download Adobe Reader 9.3.4</a></li></ul>
Laut Adobe wird die Schwachstelle schon aktiv ausgenutzt, jedoch sei man bereits dabei Update-Vorbereitungen vorzunehmen. Man empfiehlt, wie immer, den Nutzern, ihre Anti-Malware Software und entsprechende Definitionen auf dem aktuellen Stand zu halten.
Ob es einen außerplanmäigen Patch gibt oder die Lücke erst mit dem Patchday am 12. Oktober geschlossen wird, gab Adobe nicht bekannt.
<b>Links zum Thema:</b>
<ul><li><a href="http://www.adobe.com/support/security/advisories/apsa10-02.html" target="b">Security Advisory for Adobe Reader and Acrobat (APSA10-02)</a></li><li><a href="http://www.planet3dnow.de/cgi-bin/newspub/viewnews.cgi?id=1283304558">Download Adobe Reader 9.3.4</a></li></ul>
Die können ja noch viel mehr unnützen Müll in den Reader stecken- wird bestimmt besser.
Es wird echt Zeit, dass Adobe abgelöst wird.
Das ist doch nur noch Müll, was die abliefern.
Für ein andauernd abstürzendes Flash- Plugin muss man sich jetzt sogar zuerst ein Download- Plugin installieren
An alle hier lesenden Web- Designer: verzichtet auf Adobe (Webseiten brauchen es eh nicht)!
Es wird echt Zeit, dass Adobe abgelöst wird.
Das ist doch nur noch Müll, was die abliefern.
Für ein andauernd abstürzendes Flash- Plugin muss man sich jetzt sogar zuerst ein Download- Plugin installieren
An alle hier lesenden Web- Designer: verzichtet auf Adobe (Webseiten brauchen es eh nicht)!
PuckPoltergeist
Grand Admiral Special
Überrascht jetzt nicht wirklich jemanden, oder? 
KIDH
Grand Admiral Special
Für ein andauernd abstürzendes Flash- Plugin muss man sich jetzt sogar zuerst ein Download- Plugin installieren
Muss man nicht! Einfach ablehnen und normal herunterladen.
Davon abgesehen geht's hier um den Reader...nunja...Adobe gleich ablösen? Ich finde den 9er Reader eigentlich ganz gelungen. Sicherheitslücken werden immer entdeckt bei häufig verwendeter Software...ist doch bei Firefox nicht anders -> siehe letztes Update.
Wie?
Auf der Seite hier:
http://get.adobe.com/de/flashplayer/
Kann man IMO nichts mehr ablehnen.
Naja, mit den Sicherheitslücken hast du ja recht- trotzdem gefällt mir Adobe nicht
Das gleiche bei Corel. Alles aufkaufen, unnötig aufblähen, unnötige, im Speicher resistente, Programme ungefragt beim Systemstart laden- das kotzt mich echt an.
Dazu kommt dann noch, dass man immer nur noch mehr Schnickschnack einbaut anstatt die Software mal stabil zu bekommen- Beispiele:
- CorelDraw Suite: seit Version 10(?) immer mal zwischendurch ein Absturz, Copy&Paste Speicher gerät durcheinander uvm.
- Firefox Adobe Reader Plugin: unerklärliche Abstürze beim Beenden des Firefox (bei PDF- Anzeige im Browser)
- Firefox Flash Plugin: Bluescreens
Mit eigenen Augen gesehen auf völlig verschiedenen PCs.
Also weiterhin mein Appell an Webdesigner: kein Flash mehr!
PuckPoltergeist
Grand Admiral Special
Schau mal in welchem Umfang welche Bugs in Adobe-Software auftreten und vergleich das mal mit anderer Software. Ich glaube, das schafft kein anderer Hersteller, derart viele Scheunentore auszuliefern.
KIDH
Grand Admiral Special
Uh...sorry stimmt, die haben den Direktdownload-Link rausgenommen...aber das macht nichts, du findest sie woanders: http://kb2.adobe.com/cps/855/cpsid_85599.html#ionComHeading, da steht dann folgendes:
Da hast du Recht...das nervt mich auch...alleine schon zwei Autostarts beim Reader, die man nach jedem Update wieder rausschmeißen muss...bei Java genauso.
Das Problem ist, mit wem willst dus vergleichen? Foxit Reader? Viel zu geringer Marktanteil.
Das Problem bei Adobe ist einfach, das die Dateiformate ziemlicher Mist sind. Gerade wenn man mal einen Blick in die Doku von ActionScript wirft, sieht man das Abobe dort massiv Bitpacking betreibt um in dem einen oder anderen Fall mal 3Bit zu sparen. Das ist in Zeiten von schnellen Internetverbindungen und viel Speicher im Rechner einfach nicht mehr zeitgemäß, da sich daraus massive und schwer zu lokalisierende Sicherheitsprobleme ergeben.
PuckPoltergeist
Grand Admiral Special
PDF-Reader miteinander zu vergleichen ist in der Tat schwierig. Meines Wissens implementiert kein anderer den Funktionsumfang wie der Adobe Reader. Aber darauf wollte ich gar nicht hinaus. Ich meine das viel umfassender, nicht nur auf eine bestimmte Software bezogen. Schau doch mal, was Adobe für Sicherheitslöcher auf den Markt wirft. Sei es der Adobe Reader oder das Flash-Plugin. Beides Software mit enormer Reichweite und beides Software, die regelmäßig und häufig mit immensen Löchern aufwarten. Wenn man sich die Sicherheitshinweise zu den Patches oder gar ohne Patches betrachtet, ist da regelmäßig von Bugs die Rede, welche einschleusen und ausführen von Code ermöglichen. Und das schafft so kein anderer mir bekannter Hersteller.
PuckPoltergeist
Grand Admiral Special
Punkt 1: Häufige Updates sind absolut ungeeignet auf unsicherere Software zu schließen. Im Gegenteil, es lässt sogar den Schluss zu, dass der Hersteller schneller auf Fehler reagiert. Bestes Beispiel ist ja der aktuelle Bug im Reader, der ausgenutzt wird aber für den noch kein Fix bereit steht.
Punkt 2: Wie schon erwähnt sind die Bugs in Adobe-Software sehr häufig so gravierend, dass sie das Einschleusen von Schadcode ermöglichen. Diese Art von Fehlern findet man bei Microsoft oder Mozilla auch, aber bei weitem nicht so häufig. Ich verweise mal auf: http://blog.fefe.de/?ts=b2ef379a
Ist in dem Fall zwar Flash, aber der Reader hat das Problem in ähnlichem Ausmaß. Zeig mal bitte einen anderen Hersteller, der solche Scheunentore ausliefert.
KIDH
Grand Admiral Special
Häufige Updates sind genauso ungeignet auf sichere Software zu schließen. 
Schau dir doch mal Firefox an, im Prinzip konnte man alle kritischen Sicherheitslücken nutzen um COde auszuführen...und das war nicht nur eine sondern gleich zehn...das Update zu FF 3.6.8 ist auch schon ne ganze Weile her.
Dass Adobe nicht gleich nen Patch hat, dürfte klar sein, immerhin müssen die erstmal dran arbeiten...ist ja nicht jedes Loch ganz leicht zu schließen.
Schau dir doch mal Firefox an, im Prinzip konnte man alle kritischen Sicherheitslücken nutzen um COde auszuführen...und das war nicht nur eine sondern gleich zehn...das Update zu FF 3.6.8 ist auch schon ne ganze Weile her.Dass Adobe nicht gleich nen Patch hat, dürfte klar sein, immerhin müssen die erstmal dran arbeiten...ist ja nicht jedes Loch ganz leicht zu schließen.
Meine Lösung: Adobe Reader deinstallieren -> mozplugger installieren -> beliebigen pdf-viewer zur Anzeige im Firefox verwenden.
Ich habs bei der letzten großen Sicherheitslücke gemacht und vermisse garnichts. Zudem ist der adobe reader im vergleich sowieso langsam und speicherfressend gewesen.
Ich habs bei der letzten großen Sicherheitslücke gemacht und vermisse garnichts. Zudem ist der adobe reader im vergleich sowieso langsam und speicherfressend gewesen.
PuckPoltergeist
Grand Admiral Special
So wollte ich das auch nicht verstanden wissen. Mein Gegenschluss war lediglich, wenn man was ableiten will, dann dass bei häufigen Updates der Hersteller sich drum bemüht, Fehler (zeitnah) zu beseitigen.Häufige Updates sind genauso ungeignet auf sichere Software zu schließen.
Wie gesagt, andere machen auch entsprechend schwerwiegende Fehler. Ein Unterschied ist aber in der Klassifizierung. Bei Mozilla wurde bis jetzt alle Fehler als kritisch eingestuft, die eventuell, möglicherweise zur Code Einschleusung geeignet sein könnten. Dazu gehört prinzipiell jeder Bufferoverflow, auch wenn entsprechende Manifestierungen lediglich zum Crash reichen, egal was man überlaufen lässt. Sprich, man ist lieber übervorsichtig, auch wenn die Fehler gar nicht so schwerwiegend sind. Bei Adobe war es bis jetzt so, dass jeder so deklarierte Fehler auch wirklich zum Code einschleusen funktioniert.
Das ist die Natur von Zero-Day-Exploits. Daher ja auch der Name.
KIDH
Grand Admiral Special
Was ich kritisiere, steht ja schon weiter oben (Antwort @Muku-Muku). Ich denke mal mit diesem Aufgeblähe usw. baut man sich gleichzeitig auch immer Lücken mit rein...und das macht man halt die ganze Zeit so anstatt mal das Produkt an sich stehen zu lassen auf dem aktuellen Stand und es richtig stabil udn sicher zu machen.
...oder die haben einfach unfähige Programmierer, die immer und überall Lücken mit einbauen, weil sie den Code nicht genügend begrenzen (Absicherung gegen Buffe Overflows usw.). Dazu kann ich mich aber nicht weit aus dem Fenster lehnen, da ich selber quasi gar nicht Programmieren kann.
...oder die haben einfach unfähige Programmierer, die immer und überall Lücken mit einbauen, weil sie den Code nicht genügend begrenzen (Absicherung gegen Buffe Overflows usw.). Dazu kann ich mich aber nicht weit aus dem Fenster lehnen, da ich selber quasi gar nicht Programmieren kann.
Ähnliche Themen
- Gast31082015
- Kommentare