Adobe schließt sechs kritische Sicherheitslücken in Reader und Acrobat

Sie erlauben das Einschleusen und Ausführen von Schadcode. Adobe sind bisher keine Exploits für die Anfälligkeiten bekannt. Die insgesamt 24 Sicherheitslücken ermöglichen aber auch das Umgehen von Sicherheitseinstellungen und den Diebstahl vertraulicher Informationen.

Adobe hat an seinem monatlichen Patchday ein Sicherheitsupdate für Acrobat und Acrobat Reader veröffentlicht, das 24 Schwachstellen beseitigt. Davon stuft das Unternehmen die Hälfte als kritisch ein. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen und so die vollständige Kontrolle über ein betroffenes System übernehmen.

Adobe Reader: Sicherheitslücken (Bild: ZDNet.de)Angreifbar sind Acrobat und Acrobat Reader DC Version 2020.006.20042 und früher für Windows und macOS, Acrobat und Acrobat Reader 2017 Version 2017.011.30166 und früher für Windows und macOS sowie Acrobat und Acrobat Reader 2015 Version 2015.006.30518 und früher für Windows und macOS. Adobe betont, dass sich Schadcode bei allen Anfälligkeiten nur im Kontext des angemeldeten Benutzers ausführen lässt.

Die jetzt veröffentlichten Updates beseitigen unter anderem einen Heap-Überlauf, zwei Puffer-Fehler und zwei Use-after-free-Bugs, die jeweils eine Remotecodeausführung erlauben. Weitere fünf Schwachstellen ermöglichen das Umgehen von Sicherheitsfunktionen. Angreifer können aber auch auf vertrauliche Informationen zugreifen oder ein Denial-of-Service auslösen.

Adobe empfiehlt den Umstieg auf die aktuelle Version 2020.009.20063 für Acrobat und Reader DC, die ab sofort für Windows und macOS zur Verfügung steht. Nach Angaben des Unternehmens hat das Update die Priorität 2. Da keine bekannten Exploits für die Sicherheitslücken vorliegen, hält das Unternehmen eine Installation der Updates innerhalb von 30 Tagen für ausreichend. Das gilt auch für die Patches, die es für Acrobat und Reader 2017 und Acrobat und Reader 2015 verteilt.

Entdeckt wurden die Fehler ausschließlich von externen Sicherheitsforschern. Adobe dankt unter anderem Mitarbeitern von Cisco Talos, der Qi’anxin Group, iDefense Labs, der Ruhr Universität Bochum, Tencent und Qihoo 360 für ihre Unterstützung. Darüber hinaus reichten Forscher Schwachstellen über die Zero Day Initiative von Trend Micro ein.

Nutzer erhalten die Aktualisierungen automatisch über die integrierte Update-Funktion der PDF-Anwendungen. Einen Installer hält Adobe zudem im Acrobat Reader Download Center bereit.

Darüber hinaus bietet Adobe ein Update für das DNG Software Development Kit an. In der Versioin 1.5 für Windows stecken insgesamt 12 Schwachstellen, von denen vier als kritisch bewertet sind. Entdeckt wurden sie von Mateusz Jurczyk von Googles Project Zero. Nutzer sollten zeitnah auf die fehlerbereinigte Version 1.5.1 umsteigen.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Adobe, PDF, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Adobe schließt sechs kritische Sicherheitslücken in Reader und Acrobat

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *