Updates für Adobe Reader am 12. Mai

In den aktuellen Versionen 9.1 und 8.1.4 des kostenlos erhältlichen PDF-Viewers Adobe Reader stecken zwei kürzlich bekannt gewordene Sicherheitslücken, die sich zum Einschleusen beliebigen Codes ausnutzen lassen. Der Hersteller hat die Schwachstellen bestätigt und angekündigt, am 12. Mai Sicherheits-Updates für die Versionen 9.x, 8.x sowie 7.x bereit stellen zu wollen, die diese Sicherheitslücken beheben.

Adobe hat am 1. Mai das Security Bulletin APSA09-02 veröffentlicht. Darin bestätigt der Hersteller, dass in allen erst im März dieses Jahres aktualisieren Versionen des Adobe Reader sowie der kostenpflichtigen PDF-Software Acrobat eine ausnutzbare Sicherheitslücke steckt. Betroffen sind alle Produktgenerationen bis einschließlich Version 9.1 unter Windows, Mac OS X und Unix. Eine zweite Sicherheitslücke betrifft nach bisherigen Erkenntnissen nur die Unix-Versionen (einschließlich Linux).

Da die Schwachstellen das Einschleusen und Ausführen beliebigen Codes ermöglichen können, stuft Adobe die Fehler als kritisch ein. Ein Angreifer könnte ein speziell präpariertes PDF-Dokument per Mail versenden oder im Web anbieten, das ein Trojanisches Pferd enthält. Bislang sind noch keine Angriffe bekannt, die diese Schwachstellen ausnutzen, Demo-Exploits sind jedoch öffentlich verfügbar. Bis zur Bereitstellung der für den 12. Mai angekündigten Updates empfiehlt der Hersteller allen Anwendern die Ausführung von Javascript im Adobe Reader zu deaktivieren.

Die Wahl des Update-Termins erscheint zwiespältig, denn am 12. Mai findet auch Microsofts monatlicher Patch Day statt. Einerseits besteht die Gefahr, dass Adobes Update deshalb der Aufmerksamkeit von Anwendern und Administratoren entgeht. Andererseits hofft Adobe möglicherweise, dass die Installation der Microsoft-Updates gleich dazu genutzt wird auch die Aktualisierung des Adobe Reader durch zu führen.