Sicherheitsleck: Adobe bestätigt neue Zero-Day-Lücke in Reader

Adobe hat vor einer neu entdeckten Sicherheitslücke in Adobe Reader gewarnt. Sie ermöglicht es einem Angreifer, Schadcode einzuschleusen und auszuführen.

Nach Unternehmensangaben ist bereits ein Patch in Arbeit. Adobe nannte aber noch keinen Termin für eine Veröffentlichung. „Wir prüfen derzeit, ob wir einen Fix im Rahmen unseres nächsten vierteljährlichen Patchday bereitstellen werden oder ein außerplanmäßiges Update herausbringen.“ Bisher sei noch kein Exploit für die Schwachstelle im Umlauf.

Charlie Miller, Sicherheitsforscher bei Independent Security Evaluators, hatte Ende Juli auf der Hackerkonferenz Black Hat ein Proof-of-Concept für die Lücke vorgestellt. Demnach besteht ein Fehler bei der Verarbeitung von Schriften in PDF-Dokumenten, der einen Ganzzahlüberlauf auslöst.

Zuletzt hatte Adobe Ende Juni seine PDF-Anwendungen Reader und Acrobat aktualisiert. Das vietnamesische Sicherheitsunternehmen Bkis fand kurz danach heraus, dass der Patch teilweise unwirksam ist. Adobe räumte das Problem ein, sagte aber, es handle sich eher um eine Funktion der Software und weniger um einen Fehler.

Eine weitere Schwachstelle bei der Behandlung von Schriften in PDF-Dateien wurde Anfang der Woche bekannt. Sie betrifft die mobile Version von Apple Safari. Das iPhone Dev Team nutzt die Lücke, um einen browserbasierten Jailbreak für iPhone, iPod Touch und iPad anzubieten.

Apple hat nach eigenen Angaben bereits einen Patch für die Lücke entwickelt, der Kunden mit einem kommenden Update für iOS zur Verfügung gestellt werden soll. Wann genau steht nicht fest.