Notiz Adobe: Kritische Lücken in Acrobat und Reader beseitigt

mischaef

Kassettenkind
Teammitglied
Dabei seit
Aug. 2012
Beiträge
3.528

Gorby

Vice Admiral
Dabei seit
Juni 2008
Beiträge
6.836
Wie kann ein gammliger PDF-Reader solche massiven Sicherheitslücken aufweisen, sodass es von außen möglich ist ein System zu kompromittieren? Software-Sicherheit und Hardware-Optimierung, genau die zwei Dinge die Qualität bei Software auszeichnen, kann Adobe so überhaupt nicht. Komisch, dass solch minderwertige Bugfest-Software immer Industriestandard wird...
 

Denniss

Lt. Commander
Dabei seit
Feb. 2010
Beiträge
1.334
Adobe halt. Bei Flash bekomen die das ja auch nicht gebacken. Will nicht wissen was da in Photoshop und Co alles möglich ist.
 

updater14

Lt. Commander
Dabei seit
Juni 2014
Beiträge
1.129
Wie kann ein gammliger PDF-Reader solche massiven Sicherheitslücken aufweisen
Vermutlich weil im Zuge der Jahre Software immer erweitert wird, da kann man den einfachen Adobe-Reader nehmen, der mittlerweile Verbindungen und Verknüpfungen hat wo man sich fragt ob das sein muss.
Andererseits trifft man da aber auch sonstige Software:
...Avast, hat sich von einem schlanken AV zu einer unnötig riesigen Suite entwickelt die mehr Probleme macht als Nutzen bringt.
...pdf24 liefert derweil einen PDF-Reader mit aus, da dieser schlank aufgebaut ist, ist das einerseits löblich, andererseits braucht man es nicht, Edge bietet das heute vom System aus, Adobe hat so gut wie jeder am System etc.

Aber so ist das, kann man das Grundprodukt nicht mehr verbessern fügt man eben neue Funktionen hinzu, ABM für die Mitarbeiter und die Kunden.

Ich bin mittlerweile schon einigermaßen glücklich wenn es für solche Lücken zeitnah Patches gibt und diese nicht auch noch irgendwas anderes kaputt machen. :D
 

andr_gin

Lt. Commander
Dabei seit
Jan. 2004
Beiträge
1.849
Adobe hat Updates für seine PDF-Werkzeuge Acrobat und Reader bereitgestellt. Mit diesen werden unter Windows und macOS zwei Sicherheitslücken beseitigt, mit welchen das System aus der Entfernung angreifbar ist.
Hier liegt denke ich ein Übersetzungsfehler vor. Das "Remote attacker" bezieht sich darauf, dass jemand eine präparierte PDF Datei erstellt und diese dann, sobald sie in Adobe Reader geöffnet wird Code ausführen kann. Das ist zwar immer noch kritisch aber es setzt zumindest eine Aktion des Users voraus.

Update:
Was noch sehr interessant wäre ist:
Besteht die Lücke nur bei aktiviertem Javascript oder auch so? Weiß da jemand was Genaueres?
 

Scobi

Cadet 1st Year
Dabei seit
März 2018
Beiträge
13
Man sollte doch noch erwählen das dies nur wenn man PDF nicht Internet Zugang verweigert (Firewall) Ich mache das seit über 5 Jahren weil die wortwörtlich Funktionen abbauen in neueren Versionen und wie bei mir sogar Reader von bezahlbaren Xi10 (CS6) auf billige kostenlose Version Downgraden, Support mein nur ist besser so da sicherer (fehlt aber halb von Funktionen die man dann in neuere bezahlbare Version (CC) wieder findet, unglaublich da!).
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
26.188
Wer nutzt das unter MacOS bitte? Der Standard MacOS PDF-Viewer kann im Prinzip alles was der Reader auch kann, im Gegenteil ich kann in jeder Software direkt PDFs, ohne 3. Software, erstellen.
 

Königstein93

Lieutenant
Dabei seit
Juni 2009
Beiträge
880

Turrican101

Commodore
Dabei seit
Aug. 2007
Beiträge
4.923
Adobe halt. Bei Flash bekomen die das ja auch nicht gebacken. Will nicht wissen was da in Photoshop und Co alles möglich ist.
Photoshop hat Adobe aber wenigstens selber programmiert. Da sind mir auch nie gravierende Sicherheitsprobleme aufgefallen. Flash ist nur von Macromedia eingekauft worden und wahrscheinlich deshalb so scheisse weil kein Mensch mehr weiß wie das Ding funktioniert.

Jede Woche neue Meldungen über Adobes Sicherheitslücken.
Gibt auch jede Woche Meldungen über gefixte Probleme bei Linux usw. Und jetzt?
 

andr_gin

Lt. Commander
Dabei seit
Jan. 2004
Beiträge
1.849
Man sollte doch noch erwählen das dies nur wenn man PDF nicht Internet Zugang verweigert (Firewall) Ich mache das seit über 5 Jahren weil die wortwörtlich Funktionen abbauen in neueren Versionen und wie bei mir sogar Reader von bezahlbaren Xi10 (CS6) auf billige kostenlose Version Downgraden, Support mein nur ist besser so da sicherer (fehlt aber halb von Funktionen die man dann in neuere bezahlbare Version (CC) wieder findet, unglaublich da!).
Die Infektion geschieht über PDF Dateien, die z.B. per Email rein kommen und der Bediener unter der Annahme "PDF Datei da kann ja nichts passieren" öffnet. Das ist eine sehr reale Gefahr wenn die Email sonst keine Auffälligkeiten aufweist. Oft tarnt sich das ja gut als Bewerbungsschreiben, Rechnung der eigenen Lieferanten oder Scan eines Multifunktionsgeräts.

Wer nutzt das unter MacOS bitte? Der Standard MacOS PDF-Viewer kann im Prinzip alles was der Reader auch kann, im Gegenteil ich kann in jeder Software direkt PDFs, ohne 3. Software, erstellen.
Multimediaanwendungen wie Adobe CC sind ja gerade der Hauptverwendungszweck von Macs und wer Acrobat zum Erstellen/Bearbeiten von PDF Dateien installiert hat, der wird auch normale Email Anhänge damit öffnen und nicht irgendeinen anderen Freeware Reader benutzen.

Photoshop hat Adobe aber wenigstens selber programmiert. Da sind mir auch nie gravierende Sicherheitsprobleme aufgefallen. Flash ist nur von Macromedia eingekauft worden und wahrscheinlich deshalb so scheisse weil kein Mensch mehr weiß wie das Ding funktioniert.
Photoshop hat bei Weitem nicht die Verbreitung von Adobe Reader oder Flash. Das interessiert einfach keinen genug, dass er viel danach sucht. Abgesehen davon ist das Dateiformat von Grafiken relativ einfach. Da ist wesentlich weniger Angriffsfläche da solange man aufpasst keine Feldüberschreitungen bei fehlerhaften Längenangaben im Grafik Header zu erzeugen.

Bei Flash kommt noch dabei, dass dieses darauf designed ist potentiell unsicheren Code in einer Sandbox auszuführen. Das ist generell viel anfälliger für Lücken als reine Bild/Textdokumente.

Das Hauptproblem ist, dass Adobe eine Truppe an Grafikern ist und kein professioneller Softwareentwickler wie Microsoft oder Google. Da braucht man sich nur an den Leak der Kennwörter vor ein paar Jahren erinnern: https://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/
 

Vasilev

Lt. Junior Grade
Dabei seit
Sep. 2013
Beiträge
482
...
Mit der Sicherheitslücke CVE-2018-16011 ist es Angreifern möglich, sich, ohne vorherige Authentifizierung, von außerhalb Zugriff auf das System zu verschaffen ...

mal ernsthaft: ein Programm, was nur PDF öffnen soll... und ist Angreifern von ausserhalb möglich, Zugriff auf das System zu erhalten :freak::lol:

Langsam aber Sicher gehört der Reader wie Flash komplett abgeschafft.
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
26.188
Multimediaanwendungen wie Adobe CC sind ja gerade der Hauptverwendungszweck von Macs
Schon lange nicht mehr... Viele dieser User sind auf Windows umgestiegen weil es lang keine potente HW in den Macs gab und gibt.

Acrobat zum Erstellen/Bearbeiten von PDF Dateien installiert hat
Wie gesagt, brauch man nicht das kann MacOS schon von Haus aus.
 

christan

Lieutenant
Dabei seit
Mai 2014
Beiträge
959
Schon lange nicht mehr... Viele dieser User sind auf Windows umgestiegen weil es lang keine potente HW in den Macs gab und gibt.

Wie gesagt, brauch man nicht das kann MacOS schon von Haus aus.
Soweit ich weiß bietet Acrobat Pro schon einiges mehr als Preview unter MacOS. Ich benutze z.B. ständig die ganzen OCR-Funktionen um Scans vernünftig zu komprimieren und zu durchsuchen. Auch Unterschriften und Bearbeiten des Texts von fertigen PDFs kenne ich nur von Acrobat in der Form.

Wer nur PDFs splitten und mergen will wird sicher auch mit Preview glücklich.
 

Skandaloes

Ensign
Dabei seit
Juni 2009
Beiträge
252
Was ist mit Acrobat X Pro aus der CS6, das geht für mich leider nicht ganz aus der Meldung hervor?
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
26.188
@christan

Ja ok das macht bei mir die Scanner Software mit OCR. Das stimmt das kann Preview tatsächlich (noch) nicht.

@Skandaloes

Wird das überhaupt noch supportet?
 

Faust II

Bisher: fdgr6r5dfghfdtg
Banned
Dabei seit
Okt. 2016
Beiträge
592
Zuletzt bearbeitet:

Fritzler

Commander
Dabei seit
Juni 2006
Beiträge
2.901
Anstatt irgendwelchen Cloudmüll (den man inzwischen nicht mal mehr ausblenden kann) in den Reader zu bauen wäre villeicht mal etwas mehr Arbeitszeit zum Thema Sicherheit und Testing angebracht.
 

Turrican101

Commodore
Dabei seit
Aug. 2007
Beiträge
4.923
Nicht wirklich. Auch geil, ganzes Betriebssystem mit einem simplen PDF-Reader zu vergleichen, btw
CB ist nicht der Nabel der Welt, gerade bei Linux... Es ging auch nur darum, dass die Anzahl an Meldungen eben nix über Qualität aussagt. Adobe könnte auch 1x im Monat Patchdays machen, würde das dann was ändern, außer die Anzahl der Meldungen zu reduzieren? Nö.

Das Hauptproblem ist, dass Adobe eine Truppe an Grafikern ist und kein professioneller Softwareentwickler wie Microsoft oder Google.
Wie kommst du darauf, dass ein Softwarehersteller wie Adobe aus Grafikern besteht? :freak:
 
Top