ubuntuusers.de

Kritische Sicherheitslücke im Adobe Reader Plugin

ubuntuusers.png

Eine neuartige, besonders kritische Lücke im Adobe Reader bis einschließlich Version 7.0.8 wurde kurz vor dem Jahreswechsel auf dem 23C3-Kongress in Berlin veröffentlicht. Ihr Name: "Universal Cross-Site Scripting". Benutzer des Browser-Plugins von Adobe sollten unbedingt auf die Version 8 updaten.

Dies betrifft auch Benutzer, die das Plugin über das Paket mozilla-acroread aus dem multiverse-Repository installiert haben. Leider ist es aufgrund des besonderen Status von multiverse fraglich, ob bzw. wann dort aktualisierte Pakete auftauchen werden. Das Paket sollte also auf jeden Fall deinstalliert und bei Bedarf durch die neuere Version von adobe.com ersetzt werden.

Nicht betroffen sind diejenigen, die PDF-Dateien ohne das Plugin in externen Applikationen öffnen, wie es auf frisch installierten Ubuntu-Systemen der Fall ist.

Cross-Site Scripting

Um zu erklären, warum diese Lücke so überaus gefährlich ist, hier erstmal eine kurze Erklärung, was "normales" Cross-Site Scripting ist:

Als Cross-Site Scripting (abgekürzt XSS) bezeichnet man Sicherheitslücken in Webpräsenzen, die Fremden die Ausführung clientseitiger Skripte im Kontext der Webseite ermöglichen.

Um ein Beispiel zu nennen: Wenn ein Forum verwundbar für XSS ist, weil bspw. die Beiträge der Gäste nicht ausreichend gefiltert werden, kann ein böswilliger Benutzer in einen seiner Beiträge z.B. Javascript-Code einschmuggeln. Dieser könnte dann das Cookie ahnungsloser Betrachter auslesen, an einen Server unter der Kontrolle des Angreifers schicken, und somit Identitätsdiebstahl ermöglichen. Was in einem Forum nur ein mittleres Ärgernis darstellen mag, kann schnell sehr teuer werden, wenn es z.B. die Webseiten von Banken, Webshops oder Online-Auktionshäusern betrifft.

Eine weitere Gefahr von XSS ist, dass über den Skript-Code einfach andere Seiten nachgeladen werden, die Schadsoftware enthalten. Das betrifft aber eher die Benutzer bestimmter anderer Betriebssysteme als Linux.

Universal Cross-Site Scripting

Das besonders gefährliche an dieser aktuellen Lücke ist nun, dass der Code clientseitig durch das Adobe-Plugin stattfindet. Ohne einen Fehler des Serverbetreibers wird seine Webpräsenz verwundbar sobald sie irgendwo ein PDF-Dokument beinhaltet. (Und das haben die meisten, selbst ubuntuusers.de.) Die Lücke funktioniert so:

http://static.ubuntuusers.de/newsletter/2006/freiesMagazin-2006-12.pdf#irgendwas=javascript:alert('verwundbar');

Bei wem durch Eingabe dieser URL ein Hinweisfenster erscheint, dessen System ist empfänglich und u.a. alle seine Zugangsdaten zu sämtlichen cookie-basierten Systemen sind in Gefahr! Edgy-Systeme mit installiertem mozilla-acroread und Firefox sind definitiv betroffen.

Bei einem wirklichen Angriff würde natürlich einerseits anderer, umfangreicherer Code ausgeführt, anstatt bloß ein Fenster zu öffnen, aber andererseits kann die URL auch gut verschleiert sein. Außer dem Update oder der Deinstallation des Plugins gibt es deswegen keinen brauchbaren Workaround.

Links

http://www.gnucitizen.org/blog/universal-pdf-xss-after-party/
http://www.adobe.com/support/security/advisories/apsa07-01.html
Diskussion in unserem Forum