Notiz Adobe: Kritische Lücken in Acrobat und Reader beseitigt

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
5.847
Wie kann ein gammliger PDF-Reader solche massiven Sicherheitslücken aufweisen, sodass es von außen möglich ist ein System zu kompromittieren? Software-Sicherheit und Hardware-Optimierung, genau die zwei Dinge die Qualität bei Software auszeichnen, kann Adobe so überhaupt nicht. Komisch, dass solch minderwertige Bugfest-Software immer Industriestandard wird...
 
  • Gefällt mir
Reaktionen: Smartbomb, flo.murr, Fritzler und 7 andere
Adobe halt. Bei Flash bekomen die das ja auch nicht gebacken. Will nicht wissen was da in Photoshop und Co alles möglich ist.
 
  • Gefällt mir
Reaktionen: 13579
Gorby schrieb:
Wie kann ein gammliger PDF-Reader solche massiven Sicherheitslücken aufweisen
Vermutlich weil im Zuge der Jahre Software immer erweitert wird, da kann man den einfachen Adobe-Reader nehmen, der mittlerweile Verbindungen und Verknüpfungen hat wo man sich fragt ob das sein muss.
Andererseits trifft man da aber auch sonstige Software:
...Avast, hat sich von einem schlanken AV zu einer unnötig riesigen Suite entwickelt die mehr Probleme macht als Nutzen bringt.
...pdf24 liefert derweil einen PDF-Reader mit aus, da dieser schlank aufgebaut ist, ist das einerseits löblich, andererseits braucht man es nicht, Edge bietet das heute vom System aus, Adobe hat so gut wie jeder am System etc.

Aber so ist das, kann man das Grundprodukt nicht mehr verbessern fügt man eben neue Funktionen hinzu, ABM für die Mitarbeiter und die Kunden.

Ich bin mittlerweile schon einigermaßen glücklich wenn es für solche Lücken zeitnah Patches gibt und diese nicht auch noch irgendwas anderes kaputt machen. :D
 
Adobe hat Updates für seine PDF-Werkzeuge Acrobat und Reader bereitgestellt. Mit diesen werden unter Windows und macOS zwei Sicherheitslücken beseitigt, mit welchen das System aus der Entfernung angreifbar ist.

Hier liegt denke ich ein Übersetzungsfehler vor. Das "Remote attacker" bezieht sich darauf, dass jemand eine präparierte PDF Datei erstellt und diese dann, sobald sie in Adobe Reader geöffnet wird Code ausführen kann. Das ist zwar immer noch kritisch aber es setzt zumindest eine Aktion des Users voraus.

Update:
Was noch sehr interessant wäre ist:
Besteht die Lücke nur bei aktiviertem Javascript oder auch so? Weiß da jemand was Genaueres?
 
  • Gefällt mir
Reaktionen: psYcho-edgE
Man sollte doch noch erwählen das dies nur wenn man PDF nicht Internet Zugang verweigert (Firewall) Ich mache das seit über 5 Jahren weil die wortwörtlich Funktionen abbauen in neueren Versionen und wie bei mir sogar Reader von bezahlbaren Xi10 (CS6) auf billige kostenlose Version Downgraden, Support mein nur ist besser so da sicherer (fehlt aber halb von Funktionen die man dann in neuere bezahlbare Version (CC) wieder findet, unglaublich da!).
 
Wer nutzt das unter MacOS bitte? Der Standard MacOS PDF-Viewer kann im Prinzip alles was der Reader auch kann, im Gegenteil ich kann in jeder Software direkt PDFs, ohne 3. Software, erstellen.
 
Cool Master schrieb:
Wer nutzt das unter MacOS bitte? Der Standard MacOS PDF-Viewer kann im Prinzip alles was der Reader auch kann, im Gegenteil ich kann in jeder Software direkt PDFs, ohne 3. Software, erstellen.
Ich benutze ihn unter MacOS (Acrobat Pro 2017)! :freaky:
 
Jede Woche neue Meldungen über Adobes Sicherheitslücken.
Da müssen die sich wohl mehr Mühe geben damit jeden Tag eine Nachricht kommt.
 
Denniss schrieb:
Adobe halt. Bei Flash bekomen die das ja auch nicht gebacken. Will nicht wissen was da in Photoshop und Co alles möglich ist.

Photoshop hat Adobe aber wenigstens selber programmiert. Da sind mir auch nie gravierende Sicherheitsprobleme aufgefallen. Flash ist nur von Macromedia eingekauft worden und wahrscheinlich deshalb so scheisse weil kein Mensch mehr weiß wie das Ding funktioniert.

fdgr6r5dfghfdtg schrieb:
Jede Woche neue Meldungen über Adobes Sicherheitslücken.

Gibt auch jede Woche Meldungen über gefixte Probleme bei Linux usw. Und jetzt?
 
Scobi schrieb:
Man sollte doch noch erwählen das dies nur wenn man PDF nicht Internet Zugang verweigert (Firewall) Ich mache das seit über 5 Jahren weil die wortwörtlich Funktionen abbauen in neueren Versionen und wie bei mir sogar Reader von bezahlbaren Xi10 (CS6) auf billige kostenlose Version Downgraden, Support mein nur ist besser so da sicherer (fehlt aber halb von Funktionen die man dann in neuere bezahlbare Version (CC) wieder findet, unglaublich da!).

Die Infektion geschieht über PDF Dateien, die z.B. per Email rein kommen und der Bediener unter der Annahme "PDF Datei da kann ja nichts passieren" öffnet. Das ist eine sehr reale Gefahr wenn die Email sonst keine Auffälligkeiten aufweist. Oft tarnt sich das ja gut als Bewerbungsschreiben, Rechnung der eigenen Lieferanten oder Scan eines Multifunktionsgeräts.

Cool Master schrieb:
Wer nutzt das unter MacOS bitte? Der Standard MacOS PDF-Viewer kann im Prinzip alles was der Reader auch kann, im Gegenteil ich kann in jeder Software direkt PDFs, ohne 3. Software, erstellen.

Multimediaanwendungen wie Adobe CC sind ja gerade der Hauptverwendungszweck von Macs und wer Acrobat zum Erstellen/Bearbeiten von PDF Dateien installiert hat, der wird auch normale Email Anhänge damit öffnen und nicht irgendeinen anderen Freeware Reader benutzen.

Turrican101 schrieb:
Photoshop hat Adobe aber wenigstens selber programmiert. Da sind mir auch nie gravierende Sicherheitsprobleme aufgefallen. Flash ist nur von Macromedia eingekauft worden und wahrscheinlich deshalb so scheisse weil kein Mensch mehr weiß wie das Ding funktioniert.

Photoshop hat bei Weitem nicht die Verbreitung von Adobe Reader oder Flash. Das interessiert einfach keinen genug, dass er viel danach sucht. Abgesehen davon ist das Dateiformat von Grafiken relativ einfach. Da ist wesentlich weniger Angriffsfläche da solange man aufpasst keine Feldüberschreitungen bei fehlerhaften Längenangaben im Grafik Header zu erzeugen.

Bei Flash kommt noch dabei, dass dieses darauf designed ist potentiell unsicheren Code in einer Sandbox auszuführen. Das ist generell viel anfälliger für Lücken als reine Bild/Textdokumente.

Das Hauptproblem ist, dass Adobe eine Truppe an Grafikern ist und kein professioneller Softwareentwickler wie Microsoft oder Google. Da braucht man sich nur an den Leak der Kennwörter vor ein paar Jahren erinnern: https://nakedsecurity.sophos.com/20...ter-adobes-giant-sized-cryptographic-blunder/
 
  • Gefällt mir
Reaktionen: bad_sign
...
Mit der Sicherheitslücke CVE-2018-16011 ist es Angreifern möglich, sich, ohne vorherige Authentifizierung, von außerhalb Zugriff auf das System zu verschaffen ...


mal ernsthaft: ein Programm, was nur PDF öffnen soll... und ist Angreifern von ausserhalb möglich, Zugriff auf das System zu erhalten :freak::lol:

Langsam aber Sicher gehört der Reader wie Flash komplett abgeschafft.
 
andr_gin schrieb:
Multimediaanwendungen wie Adobe CC sind ja gerade der Hauptverwendungszweck von Macs

Schon lange nicht mehr... Viele dieser User sind auf Windows umgestiegen weil es lang keine potente HW in den Macs gab und gibt.

andr_gin schrieb:
Acrobat zum Erstellen/Bearbeiten von PDF Dateien installiert hat

Wie gesagt, brauch man nicht das kann MacOS schon von Haus aus.
 
Cool Master schrieb:
Schon lange nicht mehr... Viele dieser User sind auf Windows umgestiegen weil es lang keine potente HW in den Macs gab und gibt.

Wie gesagt, brauch man nicht das kann MacOS schon von Haus aus.
Soweit ich weiß bietet Acrobat Pro schon einiges mehr als Preview unter MacOS. Ich benutze z.B. ständig die ganzen OCR-Funktionen um Scans vernünftig zu komprimieren und zu durchsuchen. Auch Unterschriften und Bearbeiten des Texts von fertigen PDFs kenne ich nur von Acrobat in der Form.

Wer nur PDFs splitten und mergen will wird sicher auch mit Preview glücklich.
 
Was ist mit Acrobat X Pro aus der CS6, das geht für mich leider nicht ganz aus der Meldung hervor?
 
@christan

Ja ok das macht bei mir die Scanner Software mit OCR. Das stimmt das kann Preview tatsächlich (noch) nicht.

@Skandaloes

Wird das überhaupt noch supportet?
 
Zuletzt bearbeitet:
Anstatt irgendwelchen Cloudmüll (den man inzwischen nicht mal mehr ausblenden kann) in den Reader zu bauen wäre villeicht mal etwas mehr Arbeitszeit zum Thema Sicherheit und Testing angebracht.
 
fdgr6r5dfghfdtg schrieb:
Nicht wirklich. Auch geil, ganzes Betriebssystem mit einem simplen PDF-Reader zu vergleichen, btw

CB ist nicht der Nabel der Welt, gerade bei Linux... Es ging auch nur darum, dass die Anzahl an Meldungen eben nix über Qualität aussagt. Adobe könnte auch 1x im Monat Patchdays machen, würde das dann was ändern, außer die Anzahl der Meldungen zu reduzieren? Nö.

andr_gin schrieb:
Das Hauptproblem ist, dass Adobe eine Truppe an Grafikern ist und kein professioneller Softwareentwickler wie Microsoft oder Google.

Wie kommst du darauf, dass ein Softwarehersteller wie Adobe aus Grafikern besteht? :freak:
 
Zurück
Oben