Adobe stopft kritische Sicherheitslöcher in Reader und Acrobat

Adobe hat ein außerplanmäßiges Sicherheitsupdate für Reader und Acrobat veröffentlicht. Es schließt zwei als kritisch eingestufte Sicherheitslücken. Ein Angreifer, der die Fehler erfolgreich ausnutzt, kann nach Angaben des Unternehmens beliebigen Code einschleusen und mit den Rechten des angemeldeten Benutzers ausführen.

Betroffen sind die Versionen Acrobat DC und Reader DC Continuous (2019.010.20064 und früher), Classic 2017 (2017.011.30110 und früher) und Classic 2015 (2015.006.30461 und früher). Sie sind für Windows und macOS erhältlich.

In ihnen steckt ein Use-after-free-Bug, der eine Remotecodeausführung ermöglicht. Laut Sicherheitsanbieter Fortinet lässt sich die Anfälligkeit mit einer speziell präparierten PDF-Datei ausnutzen. Die zweite Schwachstelle erlaubt indes das Umgehen von Sicherheitsfunktionen, was zu einer nicht autorisierten Ausweitung von Nutzerrechten führen kann.

Entdeckt wurden die beiden Sicherheitslöcher vom deutschen Forscher Sebastion Apelt sowie vom ZDI-Mitarbeiter Abdul Aziz Hariri. Nach Angaben von ZDI werden beide Schwachstellen noch nicht aktiv eingesetzt.

Adobe rät betroffenen Anwendern, die gestern veröffentlichten Updates zeitnah einzuspielen. Sie sollten auf die Version 2019.010.20069 (Acrobat und Reader Continuous), 2017.011.30113 (Acrobat und Reader Classic 2017) oder 2015.006.30464 (Acrobat und Reader Classic 2015) umsteigen. Die Patches sind im Acrobat Reader Download Center sowie auf Adobes FTP-Server erhältlich. Zudem verteilte Adobe die Aktualisierung über die Update-Funktion der Anwendungen.