Adobe behebt eine kritische Schwachstelle, kündigt Updates zur Behebung kritischer Schwachstellen an - und verrät dabei eine nicht behobene kritische Schwachstelle. Das erfordert einen kritischen Standpunkt Sicherheit.
Adobe: Updates veröffentlicht, Updates angekündigt ...
Am Donnerstag hat Adobe Updates für den Flash Player und AIR veröffentlicht und für den Adobe Reader und Acrobat angekündigt. Soweit, so gut. Oder besser: Schlecht, aber dazu komme ich gleich. Erst mal ist festzustellen, dass Adobe damit für den Reader und Acrobat aus dem üblichen Patch-Rhythmus ausbricht. Eigentlich sollten die Patches quartalsweise am Microsoft-Patchday veröffentlicht werden, und diese regulären Patches wurden für dieses Quartal bereits im Januar veröffentlicht. Adobe muss also Schwachstellen gefunden haben, deren Behebung nicht bis zum nächsten regulären Patchday warten kann. Eigentlich ist das auch gut so, denn der Adobe Reader war 2009 ja das Haupteinfallstor für Drive-by-Infektionen, und dann Schwachstellen nur vierteljährlich zu patchen ... Sorry, das irgendwie zu kommentieren, ohne zumindest unhöflich zu werden, fällt mir schwer. Das vertraulich gemeldete Schwachstellen durchaus trotzdem von Cyberkriminellen entdeckt und ausgenutzt werden können, hat Microsoft ja bei der für die Angriffe auf Google ausgenutzten 0-Day-Schwachstelle im Internet Explorer erleben dürfen.
... Aufforderung zum Angriff?
Und auch jetzt ist nicht alles Gold, was glänzt, denn Adobe hat im Security Advisory, mit dem die Updates für Adobe Reader und Acrobat angekündigt wurden, angegeben, dass sich unter den kritischen Schwachstellen auch die bereits im Flash Player behobene befindet. Man muss sich das mal genüsslich auf der Zunge zergehen lassen: Adobe behebt eine als kritisch eingestufte Schwachstelle im Flash Player und kündigt gleichzeitig an, diese Schwachstelle erst in 5 Tagen im Adobe Reader beheben zu wollen. Tolle Idee. "Liebe Cyberkriminelle, bitte beeilt euch, wenn ihr noch was von der Schwachstelle haben wollt, in 5 Tagen werden wir sie schließen!" - wie kommt ein Hersteller auf die Idee, eine bisher nicht öffentlich bekannte, von ihm selbst als kritisch eingestufte Schwachstelle zu veröffentlichen, bevor er die Updates zum Beheben der Schwachstelle veröffentlicht? Diese Information war im Security Advisory vollkommen überflüssig. Und warum hat man eigentlich nicht einfach alle Updates am gleichen Tag veröffentlicht?
Hoffentlich habe ich das falsch verstanden ...
Brian Krebs hat Adobe gefragt, wieso vom Patch-Rhythmus abgewichen wurde (der ja nur für Adobe Reader und Acrobat gilt, nicht wie von ihm fälschlich angenommen auch für die anderen Produkte):
Brian Krebs: Can you tell me why these weren’t released on Tuesday? It would seem that this is out of sync with the quarterly schedule Adobe set up to coincide with MSFT’s Patch Tuesday.
Wiebke Lips, Adobe: The quarterly update cycle is specific to Adobe Reader and Acrobat. (The last quarterly update for Adobe Reader and Acrobat was on January 12, 2010.) Other Adobe product teams work with Adobe’s Secure Software Engineering Team (ASSET) to deliver updates as appropriate—cycles may be different from the patch cycle for Adobe Reader and Acrobat. Today’s updates for Adobe Flash Player and BlazeDS were specifically scheduled to address vulnerabilities in Adobe Flash Player and Blaze DS.
The Flash Player vulnerability also affects Adobe Reader and Acrobat. Rather than waiting for the next quarterly update for Adobe Reader and Acrobat, which is scheduled for April, Adobe decided to make this fix available as an out-of-cycle update.
Der letzte Satz klingt fast, als würde am Dienstag im Adobe Reader und Acrobat nur die Schwachstelle aus dem Flash Player behoben. Sollte das der Fall sein... na, da fehlen mir schon wieder passende Worte, die man auch veröffentlichen könnte. Ich hoffe, ich habe das nur falsch verstanden und es werden weitere kritische Schwachstellen behoben. Und seit wann gibt es für das Beheben von Schwachstellen 'appropriate—cycles'? Schwachstellen müssen schnellstmöglich behoben werden, und nicht, wenn es der Marketingabteilung in den Terminplan passt, das Horoskop des Chefentwicklers günstig ist oder dem Webmaster das Muster im Kaffeepad gefallen hat.
Kommt Zeit, kommt Angriff...
Und angesichts der Antwort auf die zweite Frage von Brian Krebs fällt mir spontan eine weitere Frage ein:
BK: Is Adobe aware of attackers exploiting any of the vulnerabilities patched in this Flash/Air update, or attacking the vulnerabilities that Adobe plans to patch with the Reader/Acrobat patch next Tuesday?
WL: No on both updates.
Ja, warum zum Kuckuck hat Adobe dann nicht mit der Veröffentlichung bis Dienstag gewartet und alle Updates an einem Tag veröffentlicht? Ich neige dazu, Steve Jobs Einschätzung zuzustimmen. Zumindest mit Schwachstellen geht man bei Adobe allen Anschein nach immer noch etwas lässig um.
Argumente für Flash Player und Acrobat Reader?
Andere Sichtweise: Wofür braucht man Flash Player oder Adobe Reader? Schalte ich Flash aus, surft es sich auf den meisten Seiten sehr viel entspannter, da ein Großteil der Werbung weg ist, und auf jedem Fall der besonders störende Anteil der flackernden, sich aufblähenden, Geräusche von sich gebenden oder sonstwie die Seite unbrauchbar machenden Anzeigen. Den Flash Player brauche ich nur für einen einzigen Zweck: Das Abspielen von Videos. Eigentlich wäre dafür ja ein Multimediaplayer zuständig, aber leider hat sich dafür Flash als Quasi-Standard durchgesetzt. Ich hoffe, mit HTML5 ändert sich das, so dass der Flash Player in der digitalen Rundablage landen kann.
Und der Adobe Reader... den habe ich auf meinem Arbeitsplatzrechner schon seit über einem Jahr nicht mehr installiert, und bisher habe ich ihn nicht vermisst. Wirklich gebraucht wird der nur von ein paar eBooks, die auf Adobes Digital Restriction Management angewiesen sind. In Fällen, in denen mich das DRM nicht vom Kauf abschreckt, tut es der Adobe Reader - auf dessen Schwachstellen lege ich keinen Wert. Außerdem verbinde ich das Programm auch sonst nur mit negativen Erinnerungen - mir fällt kein Programm ein, das ähnlich lange zum starten braucht und ähnlich viele Bestandteile initialisieren muss. Und die Menüführung weckte bei mir auch nie Begeisterung.
Das böse Ende
Ob das jetzt witzig oder traurig ist, muss jeder selbst entscheiden. Leider ist es auf jeden Fall wahr.
Wie macht man ein System unsicher?
Man installiert den Flash Player oder den Adobe Reader.
Wie macht man ein System besonders unsicher?
Man installiert den Flash Player und den Adobe Reader.
Und wie macht man ein System sicherer?
Ja ja, ich bin ja schon ruhig...
Links
- "About Security": Die wöchentliche Serie von Carsten Eilers
[http://entwickler.de/zonen/portale/psecom,id,234,nodeid,.html]
