Acrobat-Lücke erweist sich als gefährlicher als angenommen

Bereits seit Januar können Angreifer eine Lücke in allen Versionen des Acrobat Readers ausnutzen. Nun hat der Sicherheitsexperte Didier Stevens eine neue Attacke vorgestellt, die ohne Zutun des Anwenders Windows-PCs mit Malware verseuchen kann. In einem Proof-of-Concept auf seinem Blog zeigt Stevens, wie die Lücke zum Sicherheitsproblem wird, auch wenn der Anwender ein verseuchtes PDF-Dokument lediglich einmal anklickt oder gar nur den Mauszeiger auf dem Dokument ruhen lässt. Auch die Anzeige des Ordners ist gefährlich, wenn die Miniaturansicht gewählt wird. In all diesen Fällen ruft der Explorer automatisch die von Acrobat Reader mitinstallierte Windows-Explorer-Shell-Erweiterung auf. Diese nutzt Funktionen der Dynamic Link Library (DLL), in der die Sicherheitslücke entdeckt wurde. Auch die Suchfunktion von Windows kann die Malware aktivieren. Der dazu benötigte Windows-Index-Server greift beim Erstellen des Index ebenfalls auf die fehlerhafte Adobe-DLL zurück.

Das Deaktivieren von Javascript im Acrobat Reader reicht nicht mehr aus, um diese neuen Attacken abzuwenden. Einzig das Abschalten der Shell-Erweiterung hilft. Adobe hat derweil für den kommenden Mittwoch, 11. März, einen Patch angekündigt.