Skip to content

0-Day-Exploits für Adobe Reader und Flash Player unterwegs

Sowohl in Adobe Reader und Acrobat als auch im Flash Player gibt es zur Zeit 0-Day-Schwachstellen, die bereits für Angriffe ausgenutzt werden. Die Schwachstelle im Adobe Reader und Acrobat wurde bereits in der vorigen Woche gemeldet, die im Flash Player, die zusätzlich auch den Adobe Reader und Acrobat betrifft, am Montag.

Die 0-Day-Schwachstelle in Adobe Reader und Acrobat

Zur 0-Day-Schwachstelle in Adobe Reader und Acrobat wurde von Adobe am 8.9. ein Security Advisory veröffentlicht, man untersucht demnach die Schwachstelle, die von Mila Parkour bei der Analyse einer per E-Mail zugeschickten PDF-Datei aufgedeckt wurde. In einer Aktualisierung des Security Advisories wurde ein Update für die Woche ab dem 4. Oktober angekündigt, dabei wird gleichzeitig der reguläre Patchday vom 12. Oktober vorgezogen, die Updates werden zusammengefasst.

Pufferüberlauf beim Verarbeiten von SING-Fonts

Eine Pufferüberlauf-Schwachstelle in der Bibliothek CoolType.dll kann durch eine PDF-Datei mit einem präparierten SING (Smart INdependent Glyphlets) Font ausgenutzt werden, um Schadcode einzuschleusen.

Kaspersky berichtet, dass der eingeschleuste Schadcode über "Return Oriented Programming" die Schutzfunktionen ASLR und DEP umgeht und eine gültige Signatur der "Vantage Credit Union" aus den USA besitzt. Das zugehörige Signier-Zertifikat wurde laut Sophos inzwischen vom Herausgeber Verisign zurückgezogen.

Laut McAfee wird auch der in der aktuellen Adobe-Reader-Version aktivierte Stackschutz (/GS) umgangen. Avira berichtet, dass die präparierte PDF-Datei prüft, ob die aktuell installierte Version des Adobe Readers angreifbar ist und ggf. bei einer zu alten Version zu einem Update auffordert. Und Trend Micro berichtet, dass die .us-Domains, von denen Schadcode nachgeladen werden soll, offline sind, von einem Registranten aus Hong Kong registriert wurden und auf Server in den USA und Deutschland verweisen.

Wie der Angriff mit dem aktuellen Exploit abläuft, hat Chester Wisniewski von Sophos in einem Video festgehalten. Ob man sich zur Zeit ein Flash-Video ansehen sollte, ist eine andere Frage.

Neuauflage der "Operation Aurora"?

Symantec sieht Parallelen zum "Operation Aurora" genannten, gezielten Angriff auf Google und andere Unternehmen Ende 2009. Der Stil der beobachteten E-Mails zum Verbreiten der präparierten PDF-Datei gleicht dem der damaligen E-Mails, und eine große Anzahl entsprechender Mails kamen von einem einzigen Rechner in der chinesischen Provinz, in der die Spur der Angreifer aus der "Operation Aurora" endete.

Analysen des Exploits und ein Metasploit-Modul

VUPEN hat den Exploit analysiert und mit

"So why is this particular 0day exploit so interesting? Because it bypasses DEP and ASLR using impressive tricks and unusual methods that we have not seen often in the wild."

kommentiert. Guido Landi meint dagegen

"Is that an ASLR bypass? nope, it's sounds to me like bypassing ASLR when ASLR is disabled."

Und in der Tat besteht ein Workaround darin, ASLR für eine missbrauchte DLL zu aktivieren, s.u..

Weitere Analysen gibt es von Websense und Attack Vector, außerdem gibt es auch ein Modul für das Metasploit-Framework, das in einem Eintrag im Metasploit Blog beschrieben wird.

Die 0-Day-Schwachstelle im Flash Player

Adobe hat am 13.9. ein Security Advisory zu einer kritischen Schwachstelle im Flash Player veröffentlicht, die auch den Adobe Reader und Acrobat betrifft. Laut Adobe wird die Schwachstelle im Flash Player "in the wild" für Angriffe auf Windows-Systeme ausgenutzt, betroffen sind aber auch die Flash Player für Mac OS X, Linux, Solaris und Android, der Adobe Reader für Windows, Mac OS X und Unix sowie Acrobat für Windows und Mac OS X.

Updates zum Beheben der Schwachstelle werden für den Flash Player für die Woche ab dem 27. September erwartet, für Adobe Reader und Acrobat für die Woche ab dem 4. Oktober, dazu s.o. mehr.

Weiterführende Informationen

Im Gegensatz zur seit der vorigen Woche bekannten Schwachstelle im Adobe Reader gibt es zur neuen Schwachstelle im Flash Player bisher kaum weiterführende Informationen. Lediglich Avira hat über den Exploit berichtet. Demnach lädt der eingeschleuste Schadcode weiteren Code zum Ausnützen einer Schwachstele in Java nach. In der dabei verwendeten HTML-Datei befindet sich ein ASCII-Art-Bild.

Workarounds

Für den Adobe Reader stehen verschiedene Alternativen bereit, zum Glück gibt es mehr als einen PDF-Viewer. In Microsofts Security Research & Defense Blog wurde außerdem eine Anleitung veröffentlicht, mit der der aktuelle Exploit für die Schwachstelle im Adobe Reader, der fehlende Schutzfunktionen in der Bibliothek icucnv36.dll ausnutzt, durch das Aktivieren der Schutzfunktionen mit Hilfe des Enhanced Mitigation Experience Toolkit 2.0 (EMET) unbrauchbar gemacht werden kann.

Beim Flash Player sieht es schlechter aus, dort kommt mangels Alternativen nur das Aussperren von Flash-Inhalten als Workaround in Frage. Alle nicht vertrauenswürdigen Flash-Inhalte können z.B. allgemein über die Firefox-Erweiterung NoScript und gezielter Flashblock blockiert werden, für Chrome gibt es mehrere Flash-Blocker und für Safari unter Mac OS X gibt es ClickToFlash. Und nicht wundern, wie viele Flash-Animationen da gefunden werden, das Web ist mit Flash-Animationen geradezu verseucht.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Adobe, Microsoft, das BKA und HTML 5 als Objekt einer Nutzerbewertung

Vorschau anzeigen
Heute beginnt in Mainz die WebTech Conference, und da ich noch mit letzten Vorbereitungen für meinen Vortrag beschäftigt bin, es andererseits aber eigentlich einiges zu kommentieren gäbe, gibt es heute quasi eine "kommentierte Lin

Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf die 0-Day-Schwachstellen

Vorschau anzeigen
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. So gab es sehr viele 0-Day-Schwachstellen. So viele, dass sie einen eigenen Text unabhängig vom restlichen Jahresrückblick verdient haben. Diesen hier. Mit dem In

Dipl.-Inform. Carsten Eilers am : Ein Text über fast nichts Neues zum Flash Player

Vorschau anzeigen
Adobe hat außer der Reihe ein als kritisch eingestuftes Update für den Flash Player veröffentlicht - wohl weil eine nur als "wichtig" eingestufte XSS-Schwachstelle für gezielte Angriffe ausgenutzt wird. Und wie schon &uu

Dipl.-Inform. Carsten Eilers am : Adobes 0-Day-Schwachstellen des Monats

Vorschau anzeigen
0-Day-Schwachstellen in Adobe Reader, Acrobat und dem Flash Player - die muss ich einfach kommentieren, so eine Vorlage lasse ich mir natürlich nicht entgehen. Werfen wir also einen Blick auf die (mageren) Fakten. Eine 0-Day-Schwachstelle

Dipl.-Inform. Carsten Eilers am : Adobe: Lieber Exploits verteuern statt Schwachstellen beheben

Vorschau anzeigen
Software wird nie völlig fehlerfrei sein. Um so wichtiger ist es, sie so fehlerfrei wie möglich zu machen. Und das bedeutet insbesondere, erkannte Schwachstellen zu beheben und das Entstehen von Schwachstellen möglichst zu verhindern