Adobe schließt Sicherheitslücken
Updates für Adobe Reader und Acrobat
Adobe hat außer der Reihe die neuen Versionen 9.4.1 seiner PDF-Programme Adobe Reader und Acrobat bereit gestellt. Darin hat der Hersteller kritische Sicherheitslücken beseitigt, die zum Teil bereits für Angriffe ausgenutzt werden.
Seit Ende Oktober ist bekannt, dass im Adobe Reader 9 eine Flash-Lücke steckt, die ausgenutzt werden kann, um schädlichen Code einzuschleusen. Es hat zum diesem Zeitpunkt bereits gezielte Mail-Angriffe mit präparierten PDF-Dokumenten gegeben. Nach den Updates für den Flash Player am 4. November hat Adobe nun auch seine Programme Reader und Acrobat für Windows und Mac aktualisiert, die auch den korrigierten Flash Player enthalten.
Die Flash-Lücke (CVE-2010-3654) betrifft nur die Versionen 9.x von Adobe Reader und Acrobat, die einen integrierten Flash Player mitbringen. Unter Windows steckt dieser in der Programmbibliothek authplay.dll. Die Versionen 8.x und früher enthalten keinen Flash Player. Adobe hat auch keine Updates für Produktgeneration 8 bereit gestellt, die jedoch weiterhin gepflegt wird.
Eine weitere kritische Lücke (CVE-2010-4091), die Adobe beseitigt hat, betrifft nur den Reader, nicht jedoch den PDF-Editor Acrobat. Ein veröffentlichter Demo-Exploit führt lediglich zum Absturz des Adobe Reader, es kann jedoch nicht ausgeschlossen werden, dass auch Code eingeschleust werden könnte. Betroffen sind alle Versionen des Adobe Reader ab 9.2 sowie ab 8.1.7. Reader 8 soll erst zu einem späteren Zeitpunkt aktualisiert werden.
Adobe hat bislang lediglich inkrementelle Updates auf Reader 9.4.1 und Acrobat 9.4.1 zum Download bereit gestellt. Die Updates sind auch über die integrierte Update-Funktion erhältlich. Eine Komplettversion von Adobe Reader 9.4.1 soll später folgen. Für den Adobe Reader 9 für Unix soll es erst am 30. November ein Update geben.
