Alert! Adobe schließt 23 Lücken in Reader und Acrobat – und gelobt Besserung

Adobe hat 23 Sicherheitslücken im Reader und Acrobat geschlossen, die Angreifer zum Teil seit Wochen zum Einschleusen von Schadcode missbrauchen. Durch einen Stack Buffer Overflow in der CoolType-Bibliothek führen die verwundbaren Versionen bis einschließlich 9.3.4 und 8.2.4 beider Produkte beliebigen Schadcode aus, wenn man eine präparierte PDF-Datei öffnet. Auch das Gros der anderen Lücken können Kriminelle zum Ausführen von beliebigem Code nutzen. Zudem hat Adobe den in den Reader integrierten Flash Player auf den neuesten Stand gebracht, wodurch eine im eigenständigen Player längst gefixte kritische Sicherheitslücke nun passé ist.

Die fehlerbereinigten Versionen 9.4 und 8.2.5 des Readers und sämtlicher Acrobat-Editionen stehen ab sofort für alle unterstützten Betriebssysteme zum Download bereit. Adobe empfiehlt allen Nutzern der älteren Versionen, das Update umgehend zu installieren. Aufgrund der akuten Bedrohungslage musste Adobe seinen Patchday wieder einmal vorziehen: Regulär wären die Updates erst am 12. Oktober erschienen. Der nächste Patchday soll am 8. Februar nächsten Jahres stattfinden – wenn nicht wieder etwas dazwischenkommt.

In Zukunft soll der Reader einen Protected Mode mitbringen, der den eigentlichen Renderer standardmäßig in einer Sandbox ausführt und eventuell im Dokument enthaltenen Schadcode vom System abschottet. Hierzu hat das Unternehmen nun weitere Details veröffentlicht. Wann genau Adobe das Sandboxing integriert, ist noch unklar. Vermutlich ist der Protected Mode ab Version 10 im Reader enthalten.

Siehe dazu auch:

• Adobe Reader im heise Software-Verzeichnis

(rei)