JavaScript-Sicherheitslücke ohne Patch: Schützen Sie Ihren Adobe Reader und Adobe Acrobat

Wieder einmal muss Adobe eine gefährliche Sicherheitslücke im Adobe Reader und Acrobat melden, dieses Mal bei der Verarbeitung von JavaScript.

In dem Hinweis zur Sicherheitslücke teilt Adobe mit, dass unter anderem die Versionen 9.1, 8.1.4 und 7.1.1 vom Adobe Reader und Adobe Acrobat unter Windows, Macintosh und Unix betroffen sind. Aber auch in älteren Versionen soll die Sicherheitslücke bereits existieren. Ausnutzen können Angreifer diese Sicherheitslücke über manipulierte PDF-Dateien, die Sie auf Ihrem Rechner oder einfach über einen Link im Internet öffnen.

Ein Update, das die Sicherheitslücke behebt, existiert bisher noch nicht. Es wurden laut heise online jedoch bereits erste Demo-Exploits gesichtet. Dadurch ist es nur noch eine Frage der Zeit, bis diese von Angreifern modifiziert und genutzt werden.

Bis die Sicherheitslücke durch ein Update behoben werden kann, rät Adobe zu einem Workaround, mit dem Sie zumindest die Gefahr beim Öffnen von PDF-Dokumenten im Adobe Reader und Adobe Acrobat eindämmen: Deaktivieren Sie unter den JavaScript-Einstellungen, die Sie über "Bearbeiten" -> "Einstellungen" finden, JavaScript für die beiden Adobe-Programme. So kann die verwundbare Funktion gar nicht erst aufgerufen werden.

Das Sicherheitsproblem umgehen Sie vollständig, wenn Sie ein alternatives PDF-Programm verwenden, zumindest bis Adobe den Fehler in seinen Produkten behoben hat. Der Sicherheitsspezialist F-Secure geht sogar noch einen Schritt weiter. Auf der RSA-Konferenz riet ein Sprecher dazu, auf den Adobe Reader vollständig zu verzichten und dauerhaft Alternativen zu verwenden. Der Grund dafür liegt darin, dass nach F-Secure-Angaben 50% der bisher in 2009 registrierten gezielten Angriffe Sicherheitslücken im Adobe Reader nutzen.