Adobe hat seine PDF-Anwendungen Reader und Acrobat aktualisiert. Das Update schließt 14 Sicherheitslücken. Vier Anfälligkeiten stuft das Unternehmen als kritisch ein. Ein Angreifer kann unter Umständen Schadcode einschleusen und mit den Rechten des angemeldeten Benutzers ausführen.
Beseitigt wird unter anderem ein Heap-Pufferüberlauf, der zu einer Remotecodeausführung führen kann. Das gilt auch für zwei Use-after-free-Bugs. Andere Schwachstellen ermöglichen das Ausführen von JavaScript-Code, eine nicht autorisierte Ausweitung von Benutzerrechten sowie den Diebstahl vertraulicher Informationen. Zwei Fixes sollen zudem das Umgehen von Signaturen beziehungsweise Sicherheitsfunktionen verhindern.
Entdeckt wurden die Sicherheitslücken ausschließlich von externen Forschern. Darunter sind Mitarbeiter von Tencent Security, Computest, Danish Cyber Defence, Hadoob Labs, Qihoo 360 und Star Labs. Einige Forscher reichten ihre Schwachstellen über die Zero Day Initiative von Trend Micro ein, da Adobe externen Sicherheitsexperten keine Prämien für Sicherheitslücken zahlt.
Betroffene Nutzer sollten möglichst zeitnah auf eine fehlerbereinigte Version der PDF-Anwendungen umsteigen. Für Windows und macOS stellt Adobe Updates auf Acrobat DC und Reader DC 2020.013.20064, Acrobat und Reader 2020 2020.001.30010 sowie Acrobat und Reader 2017 2017.011.30180 zur Verfügung. Die Verteilung erfolgt über die in die Anwendungen integrierte Update-Funktion. Adobe hält die Patches aber auch auf seiner Website zum Download bereit.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…