159084

Adobe schließt Sicherheitslücken in Acrobat und Reader

10.06.2009 | 14:41 Uhr |

Adobe hat neue Versionen des kostenlosen Adobe Reader und seines PDF-Editors Acrobat bereit gestellt. Darin hat der Hersteller mehr als ein Dutzend Sicherheitslücken beseitigt, die als kritisch eingestuft sind.

Parallel zum Microsoft Patch Day hat auch Adobe erstmals einen solchen geplanten Update-Termin durchgeführt. In Zukunft will Adobe quartalsweise, jeweils am zweiten Dienstag jedes dritten Monats, Updates für Adobe Reader und Acrobat bereit stellen. Beim ersten Adobe Patch Day am 9. Juni hat der Hersteller neue Versionen beider Software-Pakete veröffentlicht, die mehr als 13 Sicherheitslücken schließen sollen.

Adobe hat im Frühjahr damit begonnen den Code von Acrobat und Reader nach ausnutzbaren Fehlern zu durchforsten. Dabei gefundene Bugs werden mit dem Update auf die Versionen 9.1.2 beseitigt, sind jedoch bislang nicht veröffentlicht worden. Nur die 13 von Dritten gemeldeten Schwachstellen führt Adobe im Security Bulletin APSB09-07 auf. Auch hierzu gibt es allerdings kaum Details.

Die soweit dokumentierten und beseitigten Sicherheitslücken sind Pufferüberläufe und Speicherfehler, die sich mit präparierten PDF-Dateien ausnutzen lassen, um Code einzuschleusen und auszuführen. Es gibt jedoch nach Angaben Adobe noch keine Angriffe, die eine dieser Lücken ausnutzen würden.

Adobe stellt Updates für die drei jüngsten Produktgenerationen 7, 8 und 9 von Acrobat und Reader bereit. Es gibt keine neuen kompletten Installationspakete sondern lediglich Updates, die eine bereits installierte Vorversion voraussetzen. Konkret heißt das, Sie müssen mindestens Adobe Reader (oder Acrobat) 9.1 installiert haben, um das Update auf die aktuelle Version 9.1.2 installieren zu können. Gleiches gilt analog für Version 8.1.6 (8.1.x erforderlich) und Version 7.1.3 (benötigt 7.1.x).

Adobe hat bislang nur Updates für Windows und Mac OS X bereit gestellt. Die Aktualisierungen für die Unix-Plattformen, einschließlich Linux, sollen am 16. Juni folgen. Das hat den Nachteil, dass Angreifern eine Woche Zeit bleibt, aus den Updates die Änderungen zu extrahieren und Exploit-Code zu entwickeln. Damit könnten sie die Unix-Versionen angreifen, ohne dass es ein Mittel dagegen gäbe.

Wesentlich realistischer ist allerdings, dass es bald Angriffe mit präparierten PDF-Dateien auf alle Plattformen geben wird, um noch nicht aktualisierte Installationen auszunutzen. In den letzten Monaten haben Angriffe auf bekannte PDF-Sicherheitslücken deutlich zugenommen. Dem steht eine nur mäßige Update-Bereitschaft von Unternehmen und Privatanwendern gegenüber.

Wer den Adobe Reader 9.1 (oder 9.1.1), 8.1 (oder 8.1.1 bis 8.1.5) oder 7.1 (7.1.1) installiert hat, kann entweder die integrierte, automatische Update-Funktion benutzen oder die Update-Pakete manuell herunter laden und installieren. Die Download-Links für Windows und Mac finden Sie im Adobe Security Bulletin APSB09-07 , das am 16. Juni aktualisiert werden soll, um auch die Unix-Updates zu enthalten.

Download Adobe Reader 9.1

0 Kommentare zu diesem Artikel
159084