Lücken im Adobe Reader geschlossen

Beinahe schon traditionell veröffentlicht Adobe seine Sicherheits-Updates möglichst am gleichen Tag wie Microsoft. Parallel zum Patch Day am 9. September hatte Adobe den neuen Flash Player 15 bereit gestellt. Eigentlich waren zudem neue Versionen der PDF-Produkte Reader und Acrobat angekündigt. Doch wegen Software-Fehlern, die bei der Qualitätssicherung aufgefallen waren, sind die Updates erst mit einer Woche Verzögerung erhältlich.

Adobe Reader und Acrobat XI sind nun in der neuen Version 11.0.09 verfügbar, die Vorgängergeneration in Version 10.1.12. Die Entwickler haben acht Sicherheitslücken beseitigt. Fünf der Lücken sind geeignet, um beliebigen Code einzuschleusen und auszuführen. Eine weitere Schwachstelle (CVE-2014-0568) verschärft dieses Problem noch: sie kann ausgenutzt werden, um unter Windows die Sandbox zu umgehen und eingeschleusten Code mit erhöhten Berechtigungen auf Systemebene auszuführen.

Die Windows-Versionen des Adobe Reader X und XI bringen eine abgesicherte Laufzeitumgebung mit, die so genannte Sandbox. In dieser werden PDF-Dateien geladen und eventuell enthaltener Code (wie Flash/SWF oder Javascript) ausgeführt. Dies verhindert im Normalfall, dass mit präparierten PDF-Dateien eingeschleuster Code auf Systemebene wirksam werden kann.

Die beiden übrigen Schwachstellen bestehen einerseits aus einer DoS-Lücke (Denial of Service) und andererseits aus einer UXSS-Lücke (Universal Cross-site Scripting), die nur unter Mac OS X auftritt. Adobe gibt für alle Produktversionen und Plattformen die Dringlichkeitsstufe 1 an - die höchste. Das soll heißen, die Updates sollten so schnell wie möglich eingespielt werden, um vor Angriffen geschützt zu sein. (PC Welt/mje)