Adobe hat wichtige Sicherheits-Updates für Acrobat und Acrobat Reader bereitgestellt. Auch im SDK für den DNG-Konverter hat Adobe mehrere kritische Lücken gestopft. Der Flash Player erhält zwar ebenfalls ein Update, das ist jedoch nicht sicherheitsrelevant.
Adobe fokussiert sich bei seinem Beitrag zum
Patch Day
in diesem Monat auf zwei Anwendungsbereiche. In den PDF-Tools Acrobat und Reader hat Adobe 24 Schwachstellen beseitigt, im DNG Software Development Kit (SDK) sind es 12. Keine der Lücken wird bereits für Angriffe ausgenutzt. Hinzu kommt ein neuer
Flash Player
(32.0.0.371), in dem Adobe jedoch keine Sicherheitslücken geschlossen hat.
Die Hälfte der 24 Sicherheitslücken, die Adobe in Acrobat und Acrobat Reader beseitigt hat, sind als kritisch ausgewiesen. Sieben dieser Lücken könnte ein Angreifer ausnutzen, um in einer präparierten PDF-Datei beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen. Die anderen fünf kritischen Lücken erlauben das Umgehen von Sicherheitsfunktionen. Bei den nicht als kritisch eingestuften Schwachstellen handelt es sich meist um Datenlecks, zwei sind als DoS-Lücken (Denial of Service) ausgewiesen.
Interessant ist die Use-after-free-Lücke CVE-2020-9606, denn sie ist im März beim
Hackerwettbewerb Pwn2Own
zum Einsatz gekommen. Richard Zhu und Amat Cama haben sie zusammen mit einer UAF-Lücke in Windows (CVE-2020-1135) ausgenutzt, um Code mit Systemrechten auszuführen und 50.000 US-Dollar Prämie einzustreichen. Dazu genügte in der Demonstration das Öffnen einer präparierten PDF-Datei. Microsoft hat die Windows-Schwachstelle praktisch zeitgleich ebenfalls geschlossen.
Um die Sicherheitslücken zu beseitigen, hat Adobe neue Versionen seiner PDF-Tools für Windows und macOS bereitgestellt: Acrobat und
Acrobat Reader DC
2020.009.20063, Acrobat und Acrobat Reader 2017 2017.011.30171 sowie Acrobat und Acrobat Reader 2015 2015.006.30523.
Adobes kostenlos erhältlicher DNG-Konverter kann RAW-Fotos verschiedener Kamerasysteme ohne Qualitätsverlust in ein für viele Anwendungen lesbares Format (DNG: Digital Negative) umwandeln. Das zugehörige SDK (Software Development Kit) für Windows und macOS weist bis einschließlich Version 1.5 12 Sicherheitslücken auf, von denen Adobe vier als kritisch einstuft. Mit präparierten Dateien könnte ein Angreifer beliebigen Code einschleusen und ausführen. Abhilfe schafft die neue SDK-Version 1.5.1.
Die aktuellen Adobe Security Bulletins finden Sie
auf dieser Seite des Herstellers
.