Freigabedatum: 18. März 2009
Letzte Aktualisierung: 24. März 2009
Kennung der Sicherheitslücke: APSB09-04
CVE-Nummern: CVE-2009-0658, CVE-2009-0927, CVE-2009-0193, CVE-2009-0928, CVE-2009-1061, CVE-2009-1062
Plattform: Alle Plattformen
In Adobe Reader 9 und Adobe Acrobat 9 sowie früheren Versionen wurden verschiedene Sicherheitslücken entdeckt. Die Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen. Adobe sind Fälle bekannt, in denen eine dieser Sicherheitslücken bereits ausgenutzt wurde (CVE-2009-0658).
Adobe empfiehlt Anwendern von Adobe Reader 9 und Adobe Acrobat 9, das Update auf Version 9.1 zu installieren. Anwender von Acrobat 8 und Acrobat 7 sollten auf Version 8.1.4 bzw. 7.1.1 aktualisieren. Für Anwender von Adobe Reader, die nicht auf Adobe Reader 9.1 aktualisieren können, hat Adobe Updates auf Adobe Reader 8.1.4 und Adobe Reader 7.1.1 bereitgestellt.
Diese Updates schließen die Sicherheitslücke, die im Sicherheitshinweis APSA09-01 und im Sicherheitsbulletin APSB09-03 erfasst wurde. Anwender, die das Update auf Adobe Reader 9.1 und Adobe Acrobat 9.1 für Windows bzw. Macintosh bereits installiert haben, sind nicht betroffen.
Seit dem 24. März sind auch Unix-Versionen von Adobe Reader 9.1 und Adobe Reader 8.1.4 erhältlich.
Adobe Reader 9 und früher
Adobe Acrobat 9 Standard, Adobe Acrobat 9 Pro und Adobe Acrobat 9 Pro Extended sowie frühere Versionen
Adobe Reader
Adobe empfiehlt Anwendern von Adobe Reader, das folgende Update auf Adobe Reader 9.1 zu installieren:
http://get.adobe.com/de/reader
Anwendern von Adobe Reader 7.0 bis 8.1.3, die nicht auf Adobe Reader 9.1 aktualisieren können, wird das Update auf Adobe Reader 8.1.4 bzw. 7.1.1 empfohlen. Die Updates können unter den folgenden Links heruntergeladen werden:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows *
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh *
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix *
Adobe Acrobat 9
Für die Windows-Versionen von Adobe Acrobat 9 Standard und Pro wird das folgende Update auf Acrobat 9.1 empfohlen (zwei URLs zur Auswahl):
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4375 *
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4382 *
Anwender von Adobe Acrobat 9 Extended für Windows sollten dieses Update auf Acrobat 9.1 installieren:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4381 *
Für die Macintosh-Version von Adobe Acrobat 9 wird das folgende Update auf Acrobat 9.1 empfohlen:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=4374 *
Adobe Acrobat 8
Für die Windows-Version von Adobe Acrobat 8 wird das folgende Update auf Acrobat 8.1.4 empfohlen:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows *
Für die Macintosh-Version von Adobe Acrobat 8 wird das folgende Update auf Acrobat 8.1.4 empfohlen:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh *
Anwender von Adobe Acrobat 3D Version 8 für Windows sollten dieses Update auf Acrobat 3D Version 8.1.4 installieren:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows *
Adobe Acrobat 7
Für die Windows-Version von Adobe Acrobat 7 wird das folgende Update auf Acrobat 7.1.1 empfohlen:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows *
Für die Macintosh-Version von Adobe Acrobat 7 wird das folgende Update auf Acrobat 7.1.1 empfohlen:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh *
Anwender von Adobe Acrobat 3D Version 7 für Windows sollten dieses Update auf Acrobat 3D Version 7.1.1 installieren:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows *
Adobe stuft dieses Problem als kritisch ein. Die Aktualisierung wird allen Anwendern von Adobe Reader und Adobe Acrobat empfohlen.
In Adobe Reader und Adobe Acrobat 9 sowie früheren Versionen wurden verschiedene Sicherheitslücken entdeckt. Die Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.
Adobe empfiehlt Anwendern von Adobe Acrobat und Adobe Reader, die Updates auf die Versionen 9.1, 8.1.4 oder 7.1.1 anhand der oben stehenden Anweisungen zu installieren, um potenzielle Sicherheitslücken zu schließen.
Diese Updates schließen die Sicherheitslücke aufgrund des durch JBIG2-Filter verursachten Pufferüberlaufs, die im Sicherheitshinweis APSA09-01 und im Sicherheitsbulletin APSB09-03 erfasst wurde. (CVE-2009-0658)
Hinweis: Adobe sind Fälle bekannt, in denen diese Sicherheitslücke bereits ausgenutzt wurde.
Darüber hinaus beheben diese Updates verschiedene Fehler bei der Validierung von JBIG2-Daten, die die Ausführung von externem Code ermöglichen. (CVE-2009-0193, CVE-2009-0928, CVE-2009-1061, CVE-2009-1062)
Durch das Update von Adobe Reader und Adobe Acrobat auf Version 9.1 bzw. 7.1.1 wird ein Fehler bei der Eingabevalidierung in einer JavaScript-Methode behoben, der die Ausführung von externem Code ermöglicht. In Adobe Reader 8.1.3 und Adobe Acrobat 8.1.3 wurde dieses Problem bereits gelöst. (CVE-2009-0927)
Durch das Update auf Adobe Reader 7.1.1 bzw. Adobe Acrobat 7.1.1 werden Fehler behoben, die bereits für Version 8.1.3 und später sowie Version 9 und später behoben wurden. (CVE-2008-4814, CVE-2008-4813, CVE-2008-2549)
Aktuelle Informationen erhalten Sie außerdem im Blog des Adobe Product Security Incident Response Team unter http://blogs.adobe.com/psirt *. Oder abonnieren Sie den RSS-Feed unter http://blogs.adobe.com/psirt/atom.xml *.
Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden:
24. März 2009 – Bulletin mit Informationen zu Adobe Reader 9.1 und Adobe Reader 8.1.4 für Unix sowie zu den Problemen bei der JBIG2-Validierung aktualisiert
18. März 2009 – Bulletin erstellt
