Adobe schließt 17 schwerwiegende Lücken in Reader und Acrobat
Gegegebenenfalls können Angreifer mithilfe dieser Schwachstellen die Kontrolle über ein System übernehmen. Neben Acrobat DC und Acrobat Reader DC sind auch Reader und Acrobat 11.x verwundbar. Adobe verweist zudem darauf, dass Reader und Acrobat 10.x keine Sicherheits-Updates mehr bekommen.
An seinem ersten Patchday im Jahr 2016 hat Adobe 17 Lücken in den PDF-Anwendungen Reader und Acrobat geschlossen. Es bewertet diese Anfälligkeiten als schwerwiegend, da ein Angreifer gegebenenfalls in der Lage ist, die vollständige Kontrolle über ein betroffenes System zu übernehmen. Das Unternehmen verweist zudem darauf, dass Reader und Acrobat X (10.x) nicht mehr unterstützt werden.
Die Schwachstellen finden sich demnach konkret in Acrobat DC sowie Acrobat Reader DC 15.006.30097 und früher, aber auch in Version 15.009.20077 und früher für Windows und Mac OS X. Daneben sind auch Reader und Acrobat XI, in Version 11.0.13 und früher für Windows und Mac OS X, fehlerhaft. Betroffene Anwender sollten zu Acrobat DC und Acrobat Reader DC 15.006.30119 oder 15.010.20056 wechseln. Für Reader und Acrobat XI steht eine Aktualisierung auf die Version 11.0.14 bereit.
Einem Advisory zufolge korrigieren die Updates fünf Use-after-free-Bugs sowie neun Speicherfehler, die sich jeweils dazu eignen, Schadcode einzuschleusen und auszuführen. Ein Fix soll außerdem vermeiden, dass Einschränkungen zum Ausführen von JavaScript-Code umgangen werden. Eine weitere Lücke schließt Adobe in seinem Download Manager.
Entdeckt wurden die Anfälligkeiten unter anderem von Mitarbeitern von Secunia Research, Fortinet, Clarified Security, Qihoo360 und Tencent. Anders als zum Beispiel Google oder Mozilla zahlt Adobe zumindest offiziell keine Prämien an Sicherheitsforscher, die Einzelheiten zu neuen Schwachstellen liefern.
Adobe hatte Im September 2015 angekündigt, dass der versprochene fünfjährige Support für Acrobat und Reader 10.x am 15. November ausläuft. Anwender, die nach wie vor eine der veralteten Versionen nutzen, sollten zeitnah auf die Version 11.x oder gar zu den aktuellen Anwendungen Acrobat DC respektive Acrobat Reader DC wechseln. Reader und Acrobat 11.x erhalten noch bis Oktober 2017 Sicherheitsaktualisierungen, Acrobat DC und Acrobat Reader DC noch bis April 2020.
[mit Material von Stefan Beiersmann, ZDNet.de]