Adobe Reader: Unternehmen ignorieren Patches

Das Sicherheitsunternehmen Qualys hat mehrere 100.000 PCs seiner Kunden auf Schwachstellen untersucht und dabei festgestellt, dass weniger als zehn Prozent mit den neuesten Adobe-Updates versehen sind. Adobe hat in diesem Monat Sicherheits-Updates für den Adobe Reader bereit gestellt, die mehrere als kritisch eingestufte Sicherheitslücken beseitigen. Mindestens eine davon wird bereits seit Januar von Angreifern gezielt ausgenutzt, um Malware einzuschleusen.

Nach Angaben von Wolfgang Kandek, CTO von Qualys, würde bei den gleichen Kunden ein Sicherheits-Update gegen eine kritische Lücke im Internet Explorer innerhalb von zwei Wochen nach Bereitstellung auf immerhin 40 Prozent der Rechner installiert. Adobe hat die fehlerbereinigte Version 9.1 seines PDF-Betrachters Adobe Reader am 10. März veröffentlicht. Zwei Wochen später sind jedoch weniger als zehn Prozent der untersuchten Rechner mit dem Update versehen.

Kandek vertritt die Ansicht, dieses Verhalten von Administratoren und Anwendern sei typisch für Sicherheitslücken, die nicht das Betriebssystem selbst beträfen. Verfügbare Updates würden von vielen gar nicht wahrgenommen, obwohl in den Medien ausführlich darüber berichtet worden sei. Viele hätten zwar Windows Update aktiviert, das würde jedoch nichts gegen Schwachstellen in Anwendungsprogrammen nützen.

Brad Arkin, Direktor für Produktsicherheit bei Adobe, widerspricht jedoch der Darstellung von Qualys, die Reader-Updates würden kaum installiert. Man habe bei Adobe eine Menge Download-Verkehr registriert, der vom eingebauten Update-Manager des Adobe Reader stamme. Möglicherweise beruht diese unterschiedliche Wahrnehmung des Benutzerverhaltens darauf, dass Adobe viele Downloads von privaten Anwendern registriert, während Qualys die Rechner seiner Unternehmenskunden untersucht hat. (PC Welt/mje)