Adobe stopft kritische Sicherheitslöcher in Reader und Acrobat

Adobe hat seine PDF-Anwendungen Reader und Acrobat aktualisiert. Das Update schließt 14 Sicherheitslücken. Vier Anfälligkeiten stuft das Unternehmen als kritisch ein. Ein Angreifer kann unter Umständen Schadcode einschleusen und mit den Rechten des angemeldeten Benutzers ausführen.

Betroffen sind Acrobat DC und Reader DC (Version 2020.012.20048 und früher), Acrobat und Reader 2020 (Version 2020.001.30005 und früher) sowie Acrobat und Reader 2017 (Version 2017.011.30175 und früher),und zwar unter Windows und macOS.

Beseitigt wird unter anderem ein Heap-Pufferüberlauf, der zu einer Remotecodeausführung führen kann. Das gilt auch für zwei Use-after-free-Bugs. Andere Schwachstellen ermöglichen das Ausführen von JavaScript-Code, eine nicht autorisierte Ausweitung von Benutzerrechten sowie den Diebstahl vertraulicher Informationen. Zwei Fixes sollen zudem das Umgehen von Signaturen beziehungsweise Sicherheitsfunktionen verhindern.

Entdeckt wurden die Sicherheitslücken ausschließlich von externen Forschern. Darunter sind Mitarbeiter von Tencent Security, Computest, Danish Cyber Defence, Hadoob Labs, Qihoo 360 und Star Labs. Einige Forscher reichten ihre Schwachstellen über die Zero Day Initiative von Trend Micro ein, da Adobe externen Sicherheitsexperten keine Prämien für Sicherheitslücken zahlt.

Betroffene Nutzer sollten möglichst zeitnah auf eine fehlerbereinigte Version der PDF-Anwendungen umsteigen. Für Windows und macOS stellt Adobe Updates auf Acrobat DC und Reader DC 2020.013.20064, Acrobat und Reader 2020 2020.001.30010 sowie Acrobat und Reader 2017 2017.011.30180 zur Verfügung. Die Verteilung erfolgt über die in die Anwendungen integrierte Update-Funktion. Adobe hält die Patches aber auch auf seiner Website zum Download bereit.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kritische RCE-Schwachstelle in Google Cloud Platform

Schwachstelle weist laut Tenable auf schwerwiegende Sicherheitslücke in Google Cloud Diensten hin, insbesondere App Engine,…

11 Stunden ago

Microsoft macht Office LTSC 2024 allgemein verfügbar

Die neue Version kommt mit einem Supportzeitraum von fünf Jahren. Währenddessen erhält Office LTSC 2024…

11 Stunden ago

iOS 18 schließt 33 Sicherheitslücken

Sie führen unter Umständen zur Preisgabe vertraulicher Informationen oder gar zu einem Systemabsturz. Apples KI-Dienste…

11 Stunden ago

Intel verschiebt Bau der Chipfabrik in Magdeburg

Das Projekt liegt wahrscheinlich für rund zwei Jahre auf Eis. Aus der Fertigungssparte Intel Foundry…

19 Stunden ago

Google kündigt neue Sicherheitsfunktionen für Chrome an

Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…

2 Tagen ago

Cyberkriminelle nehmen Fertigungsbetriebe ins Visier

Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…

2 Tagen ago