Freigabedatum: 19. August 2010
Kennung der Sicherheitslücke: APSB10-17
CVE-Nummern: CVE-2010-2862, CVE-2010-1240
Plattform: Alle Plattformen
In Adobe Reader 9.3.3 (und früheren Versionen) für Windows, Macintosh und UNIX, Adobe Acrobat 9.3.3 (und früheren Versionen) für Windows und Macintosh sowie Adobe Reader 8.2.3 (und früheren Versionen) und Adobe Acrobat 8.2.3 (und früheren Versionen) für Windows und Macintosh wurden kritische Sicherheitslücken entdeckt. Diese Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.
Die vorliegenden Updates beheben die in CVE-2010-2862 zusammengefassten Probleme, die auf der Sicherheitskonferenz Black Hat USA 2010 am 28. Juli 2010 diskutiert wurden. Darüber hinaus umfassen sie das in Sicherheitsbulletin APSB10-16 beschriebene Update für Adobe Flash Player.
Adobe empfiehlt Anwendern von Adobe Reader 9.3.3 und früher für Windows, Macintosh und UNIX, das Update auf Adobe Reader 9.3.4 zu installieren. (Für Anwender von Adobe Reader für Windows und Macintosh, die nicht auf Adobe Reader 9.3.4 aktualisieren können, steht das Update auf Adobe Reader 8.2.4 zum Download bereit.) Adobe empfiehlt Anwendern von Adobe Acrobat 9.3.3 und früher für Windows und Macintosh, das Update auf Adobe Acrobat 9.3.4 zu installieren. Anwendern von Acrobat 8.2.3 und früher für Windows und Macintosh wird die Aktualisierung auf Acrobat 8.2.4 empfohlen.
Beachten Sie, dass die in diesem Bulletin beschriebenen Updates außerplanmäßig veröffentlicht werden. Die Veröffentlichung der nächsten vierteljährlichen Sicherheits-Updates für Adobe Reader und Acrobat ist für den 12. Oktober 2010 geplant.
Adobe empfiehlt Anwendern, ihre Software anhand der folgenden Anweisungen zu aktualisieren:
Adobe Reader
Das Update kann mittels der automatischen Produktaktualisierung durchgeführt werden. In der Standardkonfiguration wird regelmäßig automatisch nach Updates gesucht. Die Überprüfung auf Aktualisierungen lässt sich jedoch auch manuell aktivieren: „Hilfe > Nach Updates suchen“.
Anwender von Adobe Reader für Windows können das entsprechende Update unter dem folgenden Link herunterladen:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Das Update für Anwender von Adobe Reader für Macintosh ist unter dem folgenden Link verfügbar:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh
Anwender von Adobe Reader für UNIX finden das entsprechende Update unter:
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix
Hinweis: Das Update auf Adobe Reader 9.3.4 für Windows, Macintosh und UNIX ist voraussichtlich ab dem 31. August 2010 im Download-Center für Adobe Reader unter http://get.adobe.com/reader erhältlich.
Adobe Acrobat
Das Update kann mittels der automatischen Produktaktualisierung durchgeführt werden. In der Standardkonfiguration wird regelmäßig automatisch nach Updates gesucht. Die Überprüfung auf Aktualisierungen lässt sich jedoch auch manuell aktivieren: „Hilfe > Nach Updates suchen“.
Anwender von Adobe Acrobat Standard und Pro für Windows finden das entsprechende Update unter:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows
Anwender von Adobe Acrobat Pro Extended für Windows können das Update unter dem folgenden Link herunterladen: www.adobe.com/support/downloads/product.jsp?product=158&platform=Windows
Anwender von Acrobat 3D für Windows können das Update hier herunterladen:
www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows
Anwender von Acrobat Pro für Macintosh finden das entsprechende Update unter:
www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh
Adobe stuft dieses Problem als kritisch ein. Die Aktualisierung wird allen Anwendern von Adobe Reader und Adobe Acrobat empfohlen.
In Adobe Reader 9.3.3 (und früheren Versionen) für Windows, Macintosh und UNIX, Adobe Acrobat 9.3.3 (und früheren Versionen) für Windows und Macintosh sowie Adobe Reader 8.2.3 (und früheren Versionen) und Adobe Acrobat 8.2.3 (und früheren Versionen) für Windows und Macintosh wurden kritische Sicherheitslücken entdeckt. Diese Schwachstellen können zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.
Adobe empfiehlt Anwendern von Adobe Reader 9.3.3 und früher für Windows, Macintosh und UNIX, das Update auf Adobe Reader 9.3.4 zu installieren. (Für Anwender von Adobe Reader für Windows und Macintosh, die nicht auf Adobe Reader 9.3.4 aktualisieren können, steht das Update auf Adobe Reader 8.2.4 zum Download bereit.) Adobe empfiehlt Anwendern von Adobe Acrobat 9.3.3 und früher für Windows und Macintosh, das Update auf Adobe Acrobat 9.3.4 zu installieren. Anwendern von Acrobat 8.2.3 und früher für Windows und Macintosh wird die Aktualisierung auf Acrobat 8.2.4 empfohlen.
Diese Updates schließen eine Sicherheitslücke, die aufgrund eines Ganzzahlüberlaufs entsteht und die Ausführung von Code ermöglicht. (CVE-2010-2862)
Darüber hinaus verhindern die Updates einen Social-Engineering-Angriff, der die Ausführung von Code ermöglicht. (CVE-2010-1240)
Die Updates enthalten das in Sicherheitsbulletin APSB10-16 beschriebene Update für Adobe Flash Player.
Adobe bedankt sich bei Tavis Ormandy vom Google Security Team (CVE-2010-2862) für das Melden dieser Schwachstellen und den Beitrag zum Schutz der Sicherheit unserer Kunden.
