Adobe stopft kritische Sicherheitslücken in Reader und Acrobat

Adobe hat Sicherheitsupdates für seine PDF-Anwendungen Reader und Acrobat veröffentlicht. Betroffen sind Acrobat DC und Reader DC sowie Acrobat 2020 und Reader 2020 für Windows und macOS. Angreifer sind unter Umständen in der Lage, beliebigen Schadcode einzuschleusen und auszuführen.

Fehlerhaft sind die Versionen 22.003.20310 und früher sowie 20.005.30436 und früher. Einer Sicherheitswarnung zufolge beseitigt Adobe insgesamt 15 Anfälligkeiten, von denen acht als kritisch eingestuft sind. Neben einer Remotecodeausführung sollen die Patches auch Zugriffe auf vertrauliche Informationen sowie Denial-of-Service-Angriffe verhindern. Zwei Bugs erlauben indes eine Umgehung von Sicherheitsrichtlinien, was zu einer nicht autorisierten Ausweitung von Benutzerrechten führen kann.

Entdeckt wurden die Schwachstellen überwiegend von Forschern, die mit der Zero Day Initiative von Trend Micro zusammenarbeiten – im Gegensatz zur Zero Day Initiative sowie anderen Softwareanbietern wie Microsoft und Google zahlt Adobe keine Belohnungen für von externen Forschern gemeldete Sicherheitslücken.

Nutzer sollten nun auf die fehlerbereinigten Versionen Acrobat DC und Reader DC 220.003.20310 für Windows und macOS oder Acrobat 2020 und Reader 2020 20.005.30436 für Windows und macOS umsteigen. Die Updates stuft Adobe mit der Priorität 3 ein. Da die PDF-Anwendungen laut Adobe „keine Ziele für Angreifer“ sind, sollen Administratoren die Patches „nach eigenem Ermessen“ installieren.

Die Aktualisierung erfolgt über die in Acrobat und Reader enthaltene Update-Funktion. Die Patches können aber auch über das Acrobat Reader Download Center bezogen werden.