Adobe stopft acht kritische Sicherheitslöcher in Reader und Acrobat

Adobe hat ein Sicherheitsupdate für Reader und Acrobat veröffentlicht. Es soll insgesamt acht Schwachstellen in den PDF-Anwendungen für Windows und OS X schließen, die das Unternehmen als kritisch bewertet. Eine der Lücken könnte sogar genutzt werden, um Schadcode einzuschleusen und unter Windows mit Administratorrechten außerhalb der Sandbox auszuführen.

Von den Anfälligkeiten betroffen sind Reader und Acrobat XI (11.0.08) und früher sowie Reader und Acrobat X (10.1.11) und früher. Einer Sicherheitsmeldung zufolge beseitigt Adobe unter anderem einen Use-after-free-Bug, der eine Remotecodeausführung ermöglicht. Gleiches gilt für zwei Heap-Überläufe und zwei Speicherfehler.

Ein anderer Speicherfehler macht Reader und Acrobat anfällig für Denial-of-Service-Angriffe. Zudem schließt Adobe eine universelle Cross-Site-Scripting-Lücke, die allerdings nur unter OS X auftritt. Entdeckt wurden die Fehler unter anderem von James Forshaw von Googles Project Zero sowie zwei Forschern der Nanyang Technological University in China.

Adobe empfiehlt allen betroffenen Nutzern von Reader und Acrobat, das Update auf die Version 11.0.09 einzuspielen. Es wird über die Updatefunktion der Anwendungen oder die Adobe-Website verteilt. Anwendern, die nicht auf Reader oder Acrobat XI umsteigen können, steht die Version 10.1.12 zur Verfügung.

Ursprünglich hatte Adobe das Udpate für seinen monatlichen Patchday in der vergangenen Woche geplant. Aufgrund von Fehlern, die bei routinemäßigen Regressionstests auftraten, verschob das Unternehmen die Veröffentlichung kurzfristig auf diese Woche.

Die jetzt gepatchte Version hatte Adobe im August bereitgestellt, um ein Zero-Day-Loch in Reader und Acrobat zu stopfen. Auch hier war es unter Windows möglich, die Sandbox der Anwendungen zu umgehen.

Download: Adobe Reader 11.0.09

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de