Kritische Zero-Day-Lücke gefährdet Adobes Reader und Acrobat

Adobe (Grafik: Adobe)

Angreifer können sie ausnutzen, um Schadcode außerhalb der Sandbox auszuführen. Adobe empfiehlt betroffenen Nutzern, schnellstmöglich ihre PDF-Anwendungen auf die Versionen 11.0.8 oder 10.1.11 zu aktualisieren. Zudem veröffentlicht es ein Sicherheitsupdate für Flash Player.

Adobe hat mitgeteilt, dass in Reader und Acrobat eine als kritisch eingestufte Zero-Day-Lücke steckt. Nach Unternehmensangaben gibt es wenige zielgerichtete Angriffe auf Nutzer von Reader für Windows. Davon nicht betroffen sind Reader und Acrobat für OS X. Adobe legt Nutzern nahe, das seit gestern Abend für seine PDF-Anwendungen erhältliche Sicherheitsupdate schnellstmöglich zu installieren.

Adobe (Grafik: Adobe)

Der Fehler steckt in Reader und Acrobat XI (11.0.7) und früher sowie Reader und Acrobat X (10.1.10) und früher, das geht aus einer Sicherheitsmeldung hervor. Nutzer, die nicht auf Reader und Acrobat 11.0.8 umsteigen können, steht ein Update auf die Version 10.1.11 zur Verfügung.

Angreifer können die Schwachstelle ausnutzen, um die in Reader und Acrobat integrierte Sandbox zu umgehen. Auf diese Weise lasse sich nativer Code mit erweiterten Benutzerrechten unter Windows ausführen, erklärt Adobe. Die Kaspersky-Mitarbeiter Costin Raiu und Vitaly Kamluk haben die Schwachstelle entdeckt.

Auch für den Flash Player hat Adobe ein Update veröffentlicht. Es behebt sieben Lücken in Flash Player 14.0.0.145 für Windows und OS X sowie Flash Player 11.2.202.394 für Linux, die ebenfalls als kritisch eingestuft werden. Sie ermöglichen Angreifern, die Kontrolle über ein anfälliges System mithilfe manipulierter Flash-Dateien zu übernehmen.

Mit dem Update werden fünf Speicherlecks geschlossen. Diese können genutzt werden, um die Sicherheitsfunktion Adress Space Layout Randomization (ASLR) auszuhebeln. Adobe zufolge ermöglicht ein Use-after-free-Bug zudem das Einschleusen und Ausführen von Schadcode. Unter anderem hat Chris Evans von Googles Project Zero die Schwachstellen entdeckt.

Mehr zum Thema

Alternativen für Reader, Photoshop & Co.

Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.

Betroffenen Nutzern von Flash Player steht Version 14.0.0.176 für Internet Explorer und Safari sowie 14.0.0.179 für Chrome, Firefox und Opera zur Verfügung. Google und Microsoft haben zudem Updates für die in ihren Browsern Chrome und Internet Explorer integrierten Flash-Plug-ins bereitgestellt. Linux-Nutzer sollten Flash Player 11.2.202.400 einspielen.

Downloads:

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de