Adobe veröffentlicht außerplanmäßiges Sicherheitsupdate für Reader und Acrobat

Adobe hat außerhalb seines monatlichen Patchdays ein Sicherheitsupdate für Reader und Acrobat veröffentlicht. In den beiden PDF-Anwendungen stecken insgesamt sieben Schwachstellen, von denen Adobe eine als kritisch einstuft. Sie kann benutzt werden, um beliebigen Schadcode einzuschleusen und auszuführen.

Allerdings werden die Anfälligkeiten nicht mit der höchsten Priorität bewertet. Reader und Acrobat seien zwar immer wieder das Ziel von Angriffen, derzeit seien für die Sicherheitslücken jedoch keine Exploits bekannt. Adobe geht auch davon aus, dass Malware, die die Schwachstellen ausnutzen kann, nicht kurzfristig zur Verfügung stehen wird – die Empfehlung für die Installation des Patches lautet von daher „innerhalb von 30 Tagen“.

Betroffen sind Acrobat DC und Reader DC Version 2018.011.20058 und früher für Windows und macOS, Acrobat und Reader 2017 Version 2017.011.30099 und früher für Windows und macOS sowie Acrobat und Reader DC Version 2015.006.30448 und früher für Windows und macOS.

Nutzer sollten laut Adobe auf die Versionen 2018.011.20063, 2017.011.30102 oder 2015.006.30452 umsteigen. Die Aktualisierungen verteilt Adobe über die integrierte Update-Funktion der PDF-Anwendungen und das Acrobat Reader Download Center. Administratoren können die neuen Versionen zudem von Adobes FTP-Server herunterladen.

Beseitigt werden ein Out-of-Bounds-Schreibfehler, der als kritisch bewertet ist, und sechs Out-of-Bounds-Lesefehler mit dem Schweregrad wichtig. Sie geben einem Angreifer unter Umständen Zugriff auf vertrauliche Daten. Entdeckt wurden die Anfälligkeiten von Mitarbeitern von Check Point Software und Cybellum Technologies sowie einem anonymen Sicherheitsforscher, der den Bug ursprünglich an Trend Micros Zero Day Initiative gemeldet hatte – zumindest offiziell zahlt Adobe keine Prämien für Informationen zu Sicherheitslücken.