Adobe unterstützt Sicherheit in Reader, Acrobat XI mit zusätzlichen Funktionen

Der kürzlich eingeführte Adobe Reader und Adobe Acrobat XI sind mit neuen Sicherheitsfunktionen und einer verbesserten Sandbox ausgestattet, die den Angriffen und Exploits der Produkte zuwiderlaufen Adobe.

Die als "Protected Mode" bekannte Sandbox-Funktion, die erstmals in Adobe Reader X eingeführt wurde, erwies sich als erfolgreich bei der Minderung traditioneller PDF-Exploits. Die Technologie isoliert bestimmte Adobe Reader-Vorgänge in einer streng kontrollierten Umgebung und erschwert Angreifern das Schreiben und Ausführen von bösartigem Code auf einem System nach dem Ausnutzen einer Schwachstelle im Produkt.

"Seit dem Hinzufügen des Sandbox-Schutzes zu Adobe Reader In Acrobat und Acrobat haben wir noch keine Exploits aus der Adobe Reader- und Acrobat X-Sandbox gesehen ", sagte Priyank Choudhury, ein Sicherheitsforscher des Secure Software Engineering Teams von Adobe, am Mittwoch in einem Blogbeitrag.

[Weiter Lesen: So entfernen Sie Malware von Ihrem Windows-PC]

Dies bedeutet jedoch nicht, dass die Adobe Reader X-Sandbox alle Arten von Angriffen verhindern kann. Zum Beispiel wurde die Sandbox in erster Linie entwickelt, um Schreibvorgänge einzuschränken, nicht Lesevorgänge, was bedeutet, dass potenzielle Angreifer nach dem Ausnutzen einer Adobe Reader X-Sicherheitsanfälligkeit vertrauliche Informationen von einem System stehlen können.

Das ist in Adobe Reader XI kein Problem mehr. Sagte Choudhury. "In Adobe Reader XI haben wir Funktionen zur Datendiebstahlprävention hinzugefügt, indem wir die Sandbox erweitern, um schreibgeschützte Aktivitäten einzuschränken, um Angreifern, die vertrauliche Informationen auf dem Computer des Benutzers lesen möchten, vorzubeugen."

"Ich habe davor gewarnt Die Sandbox von Reader X ist eine Schreib-Sandbox, z Das Lesen ist immer noch erlaubt und erlaubt daher immer noch den Diebstahl von Informationen ", sagte Didier Stevens, ein für seine PDF-Sicherheitsarbeit bekannter Sicherheitsforscher, am Donnerstag per E-Mail. "Ich habe das getestet."

Stevens geht davon aus, dass das neue Sandbox-Modell in Adobe Reader XI das Lesen von Dateien und Registrierungsschlüsseln verbietet, aber noch keine Gelegenheit hatte, es zu testen. Wenn das der Fall ist, wäre das eine wichtige Verbesserung, sagte er.

Die neue Version von Adobe Reader kommt auch mit einem Protected View-Modus, der die Sandbox weiter stärkt, indem sie eine separate Fensterstation erstellt - eine separate sicherungsfähige Zwischenablage und einen Desktop - für den PDF-Anzeigeprozess. Diese Funktion dient zum Blockieren von sogenannten Screen-Scraping-Angriffen, bei denen eine Anwendung Daten von der Bildschirmausgabe eines anderen Programms liest, das auf demselben Desktop ausgeführt wird.

Adobe Acrobat verfügte bereits über einen geschützten Ansichtsmodus, der in der neue Version. "Geschützte Ansicht verhält sich für Adobe Reader und Acrobat identisch, unabhängig davon, ob PDF-Dateien im Standalone-Produkt oder im Browser angezeigt werden", sagte Choudhury.

Die Unterstützung für ASRR (Address Space Layout Randomization), eine speicherbasierte Anti-Ausnutzungstechnologie Auch in den neuen Adobe Reader- und Acrobat-Versionen wurde es verbessert.

Die Implementierung von ASLR in einem Programm kann schwierig sein, da alle seine ausführbaren Dateien und Dynamic Link Libraries (DLLs) es unterstützen müssen, damit der Schutz vollständig ist

"In Adobe Reader und Acrobat XI haben wir die Unterstützung von Force ASLR unter Windows 7 und Windows 8 aktiviert", sagte Choudhury. "Force ASLR verbessert die Effektivität bestehender ASLR-Implementierungen, indem sichergestellt wird, dass alle von Adobe Reader oder Acrobat XI geladenen DLLs, einschließlich Legacy-DLLs ohne ASLR, randomisiert sind."

Außerdem profitieren Adobe Reader und Acrobat XI von einer neuen PDF Whitelisting-Framework, mit dem Systemadministratoren insbesondere in Unternehmensumgebungen bestimmte Funktionen wie JavaScript nur für ausgewählte PDF-Dateien, Websites oder Hosts aktivieren können.

Viele Sicherheitsforscher empfehlen, die JavaScript-Unterstützung in Adobe Reader und Acrobat zu deaktivieren, da die meisten PDF-Exploits JavaScript benötigen, um zu funktionieren. Diese Funktionalität kann jedoch auch legitime Zwecke haben, so dass sie für alle Benutzer in einer Unternehmensumgebung deaktiviert werden können.

Der neue Adobe Reader und Acrobat XI unterstützen auch digitale Signaturen, die Elliptic Curve Cryptography (ECC) verwenden. "Benutzer können jetzt langfristige Validierungsinformationen automatisch einbetten, wenn sie Zertifikatsignaturen verwenden, und Zertifikatsignaturen verwenden, die ECC-basierte Berechtigungsnachweise mit elliptischer Kurve unterstützen", sagte Choudhury.