PDF-Lücken

Adobe Reader und Acrobat erhalten Sicherheits-Updates

Adobe hat mit einer Woche Verspätung seine PDF-Produkte Reader und Acrobat aktualisiert, um acht teils als kritisch eingestufte Sicherheitslücken zu schließen.

Adobe-Logo

© Adobe

Adobe hat mit einer Woche Verspätung seine PDF-Produkte Reader und Acrobat aktualisiert.

Im neuen Adobe Reader XI, Version 11.0.9, sowie im Reader X, Version 10.1.12, haben die Software-Entwickler sechs als kritisch eingestufte Schwachstellen beseitigt, außerdem eine DoS- und eine UXSS-Lücke geschlossen. Auch für den PDF-Editor Acrobat sind entsprechende Aktualisierungen erschienen. Diese Sicherheits-Updates hatte Adobe ursprünglich für den Microsoft Patch Day am 9. September angekündigt, jedoch wegen eines entdeckten Fehlers kurzfristig verschoben.

Eine der geschlossenen Sicherheitslücken ist besonders problematisch. Sie kann es einem Angreifer ermöglichen die im Adobe Reader integrierte Sandbox auszutricksen. So ließe sich Code einschleusen und auf Systemebene mit erhöhten Rechten ausführen. Damit könnte der Angreifer die komplette Kontrolle über den Rechner erlangen.

Fünf weitere Schwachstellen ermöglichen es ebenfalls Code einzuschleusen, dieser kann jedoch nicht aus der Sandbox ausbrechen. Diese Sandbox ist eine abgesicherte Laufzeitumgebung, die in PDF-Dateien enthaltenen Code vom Betriebssystem abschottet. Außerdem haben die Entwickler eine DoS-Lücke (Denial of Service) geschlossen. Eine ebenfalls beseitigte UXSS-Schwachstelle (universal cross-site scripting) betrifft nur Mac-Systeme.

Angriffe mit präparierten PDF-Dateien, die eine der jetzt gestopften Lücken ausnutzen, sind bislang nicht bekannt. Adobe empfiehlt dennoch die Updates binnen 72 Stunden zu installieren.

Mehr zum Thema

Adobe hat Patch Day und bringt Updates für seine wichtigsten Tools.