Beide Firmen haben kritische Updates für den nächsten Dienstag angemeldet. Microsoft stopft Lücken im Internet Explorer, in Windows, Office und in SharePoint. Adobe will Acrobat und Reader X und XI flicken.
Quelle : heise.de / Zum vollstaendigen Artikel
Parallel zu Microsoft hat auch Adobe am gestrigen Dienstag seinen April-Patchday abgehalten. Das Unternehmen schließt vier kritische Lücken in seinem Reader sowie dem PDF-Editor Acrobat, die sich potenziell zum Einschleusen von Schadcode eignen. Bei den Lücken handelt es sich unter anderem um einen Integer Overflow, der bei der Verarbeitung von TrueType-Schriftarten auftritt. Zwei kritische Speicherfehler finden sich in der JavaScript-Engine.
Quelle: heise.de
Adobe hat heute einen außerplanmäßigen Patch für den PDF-Reader sowie Acrobat veröffentlicht. Damit wird eine kritische Sicherheitslücke beseitigt, die auf der Sicherheitskonferenz Black Hat Anfang August 2010 enthüllt wurde.
Durch das Öffnen eines speziell manipulierten PDF-Dokuments kann beliebiger Code ausgeführt werden, so dass Schadsoftware auf das betroffene System gelangt. Beim Schließen dieser einen Sicherheitslücke bleibt es nicht. Mit dem Patch auf Version 9.3.4 werden auch gleich noch weitere Sicherheitsprobleme beseitigt, heißt es im Security Bulletin.
quelle : winfuture.de
via : pc-service-overmann.eu
Der mit dem Update 9.3.3 im Reader und Acrobat eingeführte Schutz vor Angriffen über die /launch-Aktion ist lückenhaft, wie der Sicherheitsdienstleister BKIS in seinem Blog festgestellt hat. Setzt man in PDF-Dokumente eingebettete Befehle in doppelte Anführungszeichen, so lässt sich der Schutz austricksen und das Programm startet – jedoch erst nach Bestätigung eines Warndialoges.
Weil nach Angaben von Adobe viele Kunden die Funktion für ihre Unternehmenslösungen benötigen, hatte der Hersteller eine Blacklist verbotener Anwendungen (darunter .exe, bat und viele andere) integriert, statt die Option “Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden” komplett zu deaktivieren.
quelle und vollstaendiger Bericht : heise.de
Adobe hat heute ein Update für den Reader und Acrobat veröffentlicht, mit dem 17 Sicherheitslücken geschlossen werden. Sie lassen sich alle zum Einschleusen und Ausführen von Code missbrauchen.
Eine der gefährlichsten Lücken kann bereits ausgenutzt werden, wenn man mit einem fehleranfälligen Reader-Plug-In eine speziell präparierte Website besucht.
