Details zum Update für Adobe Reader

Adobe hat im Laufe dieses Monats Updates und neue Versionen seines kostenlosen PDF-Betrachters Adobe Reader sowie seines PDF-Bearbeitungsprogramms Acrobat bereit gestellt. Die Vorgängerversionen enthalten Sicherheitslücken, die bereits seit mindestens Januar dieses Jahres von Angreifern ausgenutzt werden. Zunächst war nur von einer Schwachstelle die Rede, inzwischen hat Adobe jedoch mehr Details veröffentlicht. Demnach hat der Hersteller fünf weitere Sicherheitslücken gestopft.

Zu der bereits bekannten JBIG2-Anfälligkeit kommen vier weitere, artverwandte Schwachstellen hinzu, die Adobe beseitigt hat. Alle fünf werden von Adobe als kritisch eingestuft, denn sie können zum Einschleusen und Ausführen von beliebigem Code ausgenutzt werden. Dazu genügt es, wenn Anwender eine speziell präparierte PDF-Datei mit einer anfälligen Version von Reader oder Acrobat öffnen.

Diese zusätzlichen Sicherheitslücken sind Adobe erst deutlich nach der ersten bekannt geworden. Bis zu dem bereits angekündigten Termin für die Bereitstellung von Adobe Reader und Acrobat 9.1 am 10. März blieb nach Angaben von Brad Arkin, Direktor für Produktsicherheit bei Adobe, genug Zeit zum Beseitigen auch dieser Schwachpunkte. Eine Woche später hat Adobe auch Updates für die Produktgenerationen 7.x und 8.x bereit gestellt.

Die sechste Sicherheitslücke ist ebenfalls als kritisch eingestuft. Sie betrifft eine Javascript-Schwachstelle bei der Überprüfung von Eingaben. Sie ist bereits in den Unix-Versionen 8.1.3 von Adobe Reader und Acrobat beseitigt worden, nicht jedoch in den Versionen für Windows und Mac. Dies hat Adobe nun nachgeholt. Für Unix inklusive Linux stehen jetzt auch die Versionen 9.1 und 8.1.4 zum Download bereit. Die Download-Links für alle Plattformen finden Sie im Adobe Security-Bulletin APSB09-04.