Adobe schließt sechs kritische Sicherheitslücken in Reader und Acrobat

Adobe hat an seinem monatlichen Patchday ein Sicherheitsupdate für Acrobat und Acrobat Reader veröffentlicht, das 24 Schwachstellen beseitigt. Davon stuft das Unternehmen die Hälfte als kritisch ein. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen und so die vollständige Kontrolle über ein betroffenes System übernehmen.

Angreifbar sind Acrobat und Acrobat Reader DC Version 2020.006.20042 und früher für Windows und macOS, Acrobat und Acrobat Reader 2017 Version 2017.011.30166 und früher für Windows und macOS sowie Acrobat und Acrobat Reader 2015 Version 2015.006.30518 und früher für Windows und macOS. Adobe betont, dass sich Schadcode bei allen Anfälligkeiten nur im Kontext des angemeldeten Benutzers ausführen lässt.

Die jetzt veröffentlichten Updates beseitigen unter anderem einen Heap-Überlauf, zwei Puffer-Fehler und zwei Use-after-free-Bugs, die jeweils eine Remotecodeausführung erlauben. Weitere fünf Schwachstellen ermöglichen das Umgehen von Sicherheitsfunktionen. Angreifer können aber auch auf vertrauliche Informationen zugreifen oder ein Denial-of-Service auslösen.

Adobe empfiehlt den Umstieg auf die aktuelle Version 2020.009.20063 für Acrobat und Reader DC, die ab sofort für Windows und macOS zur Verfügung steht. Nach Angaben des Unternehmens hat das Update die Priorität 2. Da keine bekannten Exploits für die Sicherheitslücken vorliegen, hält das Unternehmen eine Installation der Updates innerhalb von 30 Tagen für ausreichend. Das gilt auch für die Patches, die es für Acrobat und Reader 2017 und Acrobat und Reader 2015 verteilt.

Entdeckt wurden die Fehler ausschließlich von externen Sicherheitsforschern. Adobe dankt unter anderem Mitarbeitern von Cisco Talos, der Qi’anxin Group, iDefense Labs, der Ruhr Universität Bochum, Tencent und Qihoo 360 für ihre Unterstützung. Darüber hinaus reichten Forscher Schwachstellen über die Zero Day Initiative von Trend Micro ein.

Nutzer erhalten die Aktualisierungen automatisch über die integrierte Update-Funktion der PDF-Anwendungen. Einen Installer hält Adobe zudem im Acrobat Reader Download Center bereit.

Darüber hinaus bietet Adobe ein Update für das DNG Software Development Kit an. In der Versioin 1.5 für Windows stecken insgesamt 12 Schwachstellen, von denen vier als kritisch bewertet sind. Entdeckt wurden sie von Mateusz Jurczyk von Googles Project Zero. Nutzer sollten zeitnah auf die fehlerbereinigte Version 1.5.1 umsteigen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kritische Lücken in Adobe Reader und Acrobat

Sie erlauben eine Remotecodeausführung. Betroffen sind alle unterstützten Versionen von Adobe Reader und Acrobat für…

12 Stunden ago

Google stopft weitere fünf Löcher in Chrome 128

Betroffen sind Chrome für Windows, macOS und Linux. Das von den Anfälligkeiten ausgehende Risiko stuft…

12 Stunden ago

Steuerstreit mit der EU: Apple muss 13 Milliarden Euro nachzahlen

Der Gerichtshof der Europäischen Union entscheidet „endgültig“ über den Rechtsstreit. Dem Urteil zufolge sind von…

18 Stunden ago

September-Patchday: Microsoft schließt kritische Zero-Day-Lücke in Windows Update

Sie betrifft ältere Versionen von Windows 10. Ein weiterer kritischer Bug steckt aber auch in…

19 Stunden ago

CloudEye für 18 Prozent aller Malware-Infektionen in Deutschland verantwortlich

Der Downloader nimmt Windows-Rechner ins Visier. RansomHub festigt seine Position als führende Ransomware-Gruppe weltweit.

1 Tag ago

Funeral Scams: Neue perfide Online-Betrugsmasche auf Facebook

Britische Bestattungsunternehmen haben bereits reagiert und weisen darauf hin, dass ihre Beerdigungen nicht gelivestreamt werden.

2 Tagen ago