Adobe hat Anfang der Woche mit seinem Sicherheitsupdate für Reader und Acrobat einige Schwachstellen nicht gepatcht. Darauf weisen die beiden Google-Mitarbeiter Mateusz Jurczyk und Gynvael Coldwind hin. Die Anfälligkeiten stecken vor allem in der Linux-Version von Adobe Reader. Einige der Probleme betreffen aber auch die Ausgaben für Windows und Mac OS X.
Im Fall der Linux-Version haben die beiden Sicherheitsforscher nach eigenen Angaben mit Adobe zusammen an Patches für 14 „neue eindeutige Abstürze“ und neun „Testfälle“ gearbeitet. Alle Lücken seien möglicherweise anfällig für das Einschleusen und Ausführen von Schadcode.
Adobe plane keine weitere Aktualisierung für Reader vor dem 27. August, schreiben Jurczyk und Coldwind in einem Blogeintrag. Deswegen hätten sie sich entschlossen, mit den Informationen an die Öffentlichkeit zu gehen. „Adobe will die verbliebenen Bugs mit einem kommenden Update für die Linux-Version von Reader beseitigen.“ Die ersten 24 Fehler habe Adobe mit zwölf unterschiedlichen Code-Fixes behoben. Für die restlichen Probleme werde es wahrscheinlich weitere acht Fixes benötigen.
„Auch wenn uns keine Beweise dafür vorliegen, dass die Lücken schon ausgenutzt werden, sind wir beunruhigt“, heißt es weiter in dem Blogeintrag. Basierend auf den Unterschieden zwischen der alten und der jetzt gepatchten Windows-Version sei es ohne viel Aufwand möglich, einen funktionierenden Exploit zu entwickeln. „Wir gehen von einem ernsten Risiko für Nutzer von Adobe Reader aus.“
Die Anfälligkeiten seien mithilfe von frei erhältlichen PDF-Dokumenten gefunden worden. Sie seien dafür mit einfachen Algorithmen wie „Bitflipping“ manipuliert worden. „Wir halten es für möglich, dass auf das Aufspüren von Fehlern und Schwachstellen spezialisierte Dritte von den Problemen wissen oder sie schon missbrauchen.“
Adobe hatte am Dienstag 20 Sicherheitslöcher in Reader und Acrobat für Windows und Mac OS X gestopft. Die Linux-Variante von Adobe Reader wird im zugehörigen Sicherheitsbulletin nicht erwähnt. Sie wurde zuletzt im April auf die Version 9.5.1 aktualisiert, die allerdings nur in englischer Sprache vorliegt. Deutschsprachige Anwender erhalten auf der Adobe-Website weiterhin die Version 9.4.2, die Adobe seit September 2011 als unsicher einstuft.
[mit Material von Tom Brewster, TechWeekEurope]
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
