2507298

Adobe schließt 24 PDF-Lücken

13.05.2020 | 09:25 Uhr | Frank Ziemann

Adobe hat wichtige Sicherheits-Updates für Acrobat und Acrobat Reader bereitgestellt. Auch im SDK für den DNG-Konverter hat Adobe mehrere kritische Lücken gestopft. Der Flash Player erhält zwar ebenfalls ein Update, das ist jedoch nicht sicherheitsrelevant.

Adobe fokussiert sich bei seinem Beitrag zum Patch Day in diesem Monat auf zwei Anwendungsbereiche. In den PDF-Tools Acrobat und Reader hat Adobe 24 Schwachstellen beseitigt, im DNG Software Development Kit (SDK) sind es 12. Keine der Lücken wird bereits für Angriffe ausgenutzt. Hinzu kommt ein neuer Flash Player (32.0.0.371), in dem Adobe jedoch keine Sicherheitslücken geschlossen hat.

Die Hälfte der 24 Sicherheitslücken, die Adobe in Acrobat und Acrobat Reader beseitigt hat, sind als kritisch ausgewiesen. Sieben dieser Lücken könnte ein Angreifer ausnutzen, um in einer präparierten PDF-Datei beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen. Die anderen fünf kritischen Lücken erlauben das Umgehen von Sicherheitsfunktionen. Bei den nicht als kritisch eingestuften Schwachstellen handelt es sich meist um Datenlecks, zwei sind als DoS-Lücken (Denial of Service) ausgewiesen.

Interessant ist die Use-after-free-Lücke CVE-2020-9606, denn sie ist im März beim Hackerwettbewerb Pwn2Own zum Einsatz gekommen. Richard Zhu und Amat Cama haben sie zusammen mit einer UAF-Lücke in Windows (CVE-2020-1135) ausgenutzt, um Code mit Systemrechten auszuführen und 50.000 US-Dollar Prämie einzustreichen. Dazu genügte in der Demonstration das Öffnen einer präparierten PDF-Datei. Microsoft hat die Windows-Schwachstelle praktisch zeitgleich ebenfalls geschlossen.

Um die Sicherheitslücken zu beseitigen, hat Adobe neue Versionen seiner PDF-Tools für Windows und macOS bereitgestellt: Acrobat und Acrobat Reader DC 2020.009.20063, Acrobat und Acrobat Reader 2017 2017.011.30171 sowie Acrobat und Acrobat Reader 2015 2015.006.30523.

Adobes kostenlos erhältlicher DNG-Konverter kann RAW-Fotos verschiedener Kamerasysteme ohne Qualitätsverlust in ein für viele Anwendungen lesbares Format (DNG: Digital Negative) umwandeln. Das zugehörige SDK (Software Development Kit) für Windows und macOS weist bis einschließlich Version 1.5 12 Sicherheitslücken auf, von denen Adobe vier als kritisch einstuft. Mit präparierten Dateien könnte ein Angreifer beliebigen Code einschleusen und ausführen. Abhilfe schafft die neue SDK-Version 1.5.1.

Die aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers .

PC-WELT Marktplatz

2507298