Adobe stopft kritische Sicherheitslöcher in Reader und Acrobat

Updates beheben insgesamt 14 Anfälligkeiten. Vier Lücken stuft Adobe als kritisch ein. Denkbar sind neben dem Ausführen von Schadcode auch der Diebstahl von vertraulichen Informationen und eine nicht autorisierte Ausweitung von Nutzerrechten.

Adobe hat seine PDF-Anwendungen Reader und Acrobat aktualisiert. Das Update schließt 14 Sicherheitslücken. Vier Anfälligkeiten stuft das Unternehmen als kritisch ein. Ein Angreifer kann unter Umständen Schadcode einschleusen und mit den Rechten des angemeldeten Benutzers ausführen.

Adobe Reader: Sicherheitslücken (Bild: ZDNet.de)Betroffen sind Acrobat DC und Reader DC (Version 2020.012.20048 und früher), Acrobat und Reader 2020 (Version 2020.001.30005 und früher) sowie Acrobat und Reader 2017 (Version 2017.011.30175 und früher),und zwar unter Windows und macOS.

Beseitigt wird unter anderem ein Heap-Pufferüberlauf, der zu einer Remotecodeausführung führen kann. Das gilt auch für zwei Use-after-free-Bugs. Andere Schwachstellen ermöglichen das Ausführen von JavaScript-Code, eine nicht autorisierte Ausweitung von Benutzerrechten sowie den Diebstahl vertraulicher Informationen. Zwei Fixes sollen zudem das Umgehen von Signaturen beziehungsweise Sicherheitsfunktionen verhindern.

Entdeckt wurden die Sicherheitslücken ausschließlich von externen Forschern. Darunter sind Mitarbeiter von Tencent Security, Computest, Danish Cyber Defence, Hadoob Labs, Qihoo 360 und Star Labs. Einige Forscher reichten ihre Schwachstellen über die Zero Day Initiative von Trend Micro ein, da Adobe externen Sicherheitsexperten keine Prämien für Sicherheitslücken zahlt.

Betroffene Nutzer sollten möglichst zeitnah auf eine fehlerbereinigte Version der PDF-Anwendungen umsteigen. Für Windows und macOS stellt Adobe Updates auf Acrobat DC und Reader DC 2020.013.20064, Acrobat und Reader 2020 2020.001.30010 sowie Acrobat und Reader 2017 2017.011.30180 zur Verfügung. Die Verteilung erfolgt über die in die Anwendungen integrierte Update-Funktion. Adobe hält die Patches aber auch auf seiner Website zum Download bereit.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Themenseiten: Adobe, PDF, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Adobe stopft kritische Sicherheitslöcher in Reader und Acrobat

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *