Adobe kündigt Patches für kritische Lücken in Reader, Acrobat und ColdFusion an

Adobe warnt vor drei als „kritisch“ eingestuften Zero-Day-Lücken in ColdFusion 10, 9.0.2, 9.0.1 und 9.0. Ein Angreifer könnte sich unter anderem ohne Authentifizierung Zugriff zu einem betroffenen Server verschaffen und die vollständige Kontrolle übernehmen. Darüber hinaus kündigte das Unternehmen an, es werde am Dienstag mehrere Anfälligkeiten in seinen PDF-Anwendungen Reader und Acrobat beseitigen.

Die Schwachstellen in ColdFusion werden einer Sicherheitswarnung zufolge bereits von Hackern missbraucht. Betroffen sind Nutzer von ColdFusion für Windows, Mac OS X und Unix. Zwei der drei Löcher lassen sich allerdings nur ausnutzen, wenn kein Passwort gesetzt wurde oder der Passwortschutz nicht aktiv ist. Einen Patch, der die Fehler beseitigen soll, wird Adobe erst am 15. Januar zur Verfügung stellen.

Des Weiteren sind Reader und Acrobat XI für Windows und Mac OS X sowie Reader und Acrobat 9.5.2 und früher für Windows, Mac OS X und Linux anfällig. Details zu den Schwachstellen in den PDF-Anwendungen sind noch nicht öffentlich bekannt. Stattdessen handelt es sich um reguläre Updates, die Adobe seit Kurzem parallel zu Microsofts Patchday jeweils am zweiten Dienstag des Monats veröffentlicht.

Wie viele Löcher Adobe in Reader und Acrobat stopfen wird, ist noch unklar. Das von ihnen ausgehende Risiko stuft das Unternehmen jedoch als „kritisch“ ein. Entsprechende Schwachstellen erlauben laut Adobe das Einschleusen und Ausführen von Schadcode im Hintergrund und ohne Interaktion mit dem Nutzer. Das Unternehmen gibt dem Patch auch die höchste Priorität. Es bestehe ein großes Risiko, dass Hacker versuchten, einen Exploit für die Lücken zu erstellen. Adobe rät deshalb, das Update so schnell wie möglich zu installieren.