Adobe schließt 86 Sicherheitslücken in Reader und Acrobat
Betroffen sind alle unterstützten Versionen für Windows und macOS. Angreifer können unter Umständen Schadcode einschleusen und ausführen oder gar höhere Rechte als die des angemeldeten Benutzers erlangen. Die Updates veröffentlicht Adobe erneut außerhalb seines regulären Patchdays.
Adobe hat wie angekündigt – jedoch erneut außerhalb seines eigentlichen Update-Zeitplans – einen Sicherheitspatch für Reader und Acrobat veröffentlicht. Die Entwickler beseitigen einem Security Bulletin zufolge insgesamt 86 Schwachstellen, von denen mehr als die Hälfte als kritisch bewertet wurden. Sie erlauben es unter Umständen, Schadcode einzuschleusen und mit den Rechten des angemeldeten Nutzers auszuführen, laut Adobe möglicherweise sogar, ohne dass der Nutzer darauf aufmerksam wird.
Betroffen sind alle unterstützten Versionen der PDF-Anwendungen für Windows und macOS: Acrobat DC und Reader DC Version 2018.011.20063 und früher, Acrobat 2017 und Reader 2017 Version 2017.011.30102 und früher sowie Acrobat DC und Reader DC Version 2015.006.30452 und früher.
Unter anderem ermöglichen 22 Out-of-Bounds-Schreibfehler die Ausführung von Schadcode. 36 Out-of-Bounds-Lesefehler geben zudem vertrauliche Informationen preis. Mehrere Heap-Überläufe und Use-After-Free-Bugs sorgen ebenfalls dafür, dass betroffene Systeme anfällig sind für das Einschleusen von Schadcode. Darüber hinaus ist es laut Adobe möglich, eine Sicherheitsfunktion zu umgehen, was Angreifern eine nicht autorisierte Rechteausweitung ermöglicht.
Entdeckt wurden die Sicherheitslücken unter anderem von Mitarbeitern von Qihoo 360, Source Incite, Cisco Talos, Palo Alto Networks, iDefense Lab, Check Point Software und Tencent Security. Einige Forscher reichten zudem Details zu Sicherheitslücken über Trend Micros Zero Day Initiative ein, da Adobe zumindest offiziell keine Prämien für das Offenlegen von Schwachstellen bezahlt.
Nutzer von Adobes PDF-Anwendungen sollten zeitnah auf die fehlerbereinigten Versionen 2019.008.20071, 2017.011.30105 oder 2015.006.30456 umsteigen. Adobe verteilt die Updates über seine Website oder die in Reader und Acrobat integrierte Update-Funktion.