Adobe schließt sechs kritische Sicherheitslücken in Reader und Acrobat

Adobe hat an seinem monatlichen Patchday ein Sicherheitsupdate für Acrobat und Acrobat Reader veröffentlicht, das 24 Schwachstellen beseitigt. Davon stuft das Unternehmen die Hälfte als kritisch ein. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen und so die vollständige Kontrolle über ein betroffenes System übernehmen.

Angreifbar sind Acrobat und Acrobat Reader DC Version 2020.006.20042 und früher für Windows und macOS, Acrobat und Acrobat Reader 2017 Version 2017.011.30166 und früher für Windows und macOS sowie Acrobat und Acrobat Reader 2015 Version 2015.006.30518 und früher für Windows und macOS. Adobe betont, dass sich Schadcode bei allen Anfälligkeiten nur im Kontext des angemeldeten Benutzers ausführen lässt.

Die jetzt veröffentlichten Updates beseitigen unter anderem einen Heap-Überlauf, zwei Puffer-Fehler und zwei Use-after-free-Bugs, die jeweils eine Remotecodeausführung erlauben. Weitere fünf Schwachstellen ermöglichen das Umgehen von Sicherheitsfunktionen. Angreifer können aber auch auf vertrauliche Informationen zugreifen oder ein Denial-of-Service auslösen.

Adobe empfiehlt den Umstieg auf die aktuelle Version 2020.009.20063 für Acrobat und Reader DC, die ab sofort für Windows und macOS zur Verfügung steht. Nach Angaben des Unternehmens hat das Update die Priorität 2. Da keine bekannten Exploits für die Sicherheitslücken vorliegen, hält das Unternehmen eine Installation der Updates innerhalb von 30 Tagen für ausreichend. Das gilt auch für die Patches, die es für Acrobat und Reader 2017 und Acrobat und Reader 2015 verteilt.

Entdeckt wurden die Fehler ausschließlich von externen Sicherheitsforschern. Adobe dankt unter anderem Mitarbeitern von Cisco Talos, der Qi’anxin Group, iDefense Labs, der Ruhr Universität Bochum, Tencent und Qihoo 360 für ihre Unterstützung. Darüber hinaus reichten Forscher Schwachstellen über die Zero Day Initiative von Trend Micro ein.

Nutzer erhalten die Aktualisierungen automatisch über die integrierte Update-Funktion der PDF-Anwendungen. Einen Installer hält Adobe zudem im Acrobat Reader Download Center bereit.

Darüber hinaus bietet Adobe ein Update für das DNG Software Development Kit an. In der Versioin 1.5 für Windows stecken insgesamt 12 Schwachstellen, von denen vier als kritisch bewertet sind. Entdeckt wurden sie von Mateusz Jurczyk von Googles Project Zero. Nutzer sollten zeitnah auf die fehlerbereinigte Version 1.5.1 umsteigen.