Sicherheitslücke in Adobe Reader + Acrobat

[HeikoBerlin]

Adobe warnt vor einer kritischen Sicherheitslücke in Adobe Reader und Acrobat, von der die Versionen 9 und älter betroffen sind. So soll es einem Angreifer mittels einer modifizierten pdf Datei möglich sein, die zum Öffnen genutzte Anwendung abstürzen zu lassen und derart die Kontrolle über das betroffene System zu erhalten.

Zur Behebung des Sicherheitsproblems ist von Adobe geplant am 11. März Updates für Adobe Reader 9 und Acrobat 9 bereitzustellen. Updates für die Versionen 7 und 8 sollen später folgen.
Bis dahin empfiehlt der Hersteller - neben Vorsicht beim Öffnen von Dateien aus unsicherer Quelle - die genutzte Anti-Virus Software aktuell zu halten, um sich derart gegen das Problem abzusichern.
quelle

Da die Lücke bereits aktiv ausgenutzt wird ergänzend der Hinweis, das nach Information der Shadowserver Foundation das Deaktivieren von Acrobat JavaScript gegen das Ausnutzen der Lücke helfen soll (auch wenn die Anwendung dennoch abstürzt).
Um dies beim aktuellen Adobe Reader 9 zu bewerkstelligen ist wiefolgt vorzugehen:

Im Menü Bearbeiten auf Voreinstellungen, links JavaScript anklicken und rechts oben das Häkchen bei "Acrobat JavaScript aktivieren" entfernen und mit OK bestätigen (Vorschau)
quelle

[HeikoBerlin]

Ergänzend der Hinweis das nach Information von Secunia die o.g. Sicherheitslücke auch mit deaktiviertem JavaScript ausnutzbar sein soll.

quelle

[HeikoBerlin]

Wer sich noch traut Adobe Reader bzw. Acrobat zu nutzen, sollte -mal wieder- dessen JavaScript deaktivieren, wie im ersten Thema beschrieben.

Update on Adobe Reader Issue
http://blogs.adobe.com/psirt/2009/04...der_issue.html

Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability
http://www.securityfocus.com/bid/34736/info