Adobe stopft 23 Lücken im Adobe Reader und Acrobat

Adobe hat seinen regelmäßigen PDF-Patch-Day um eine Woche vor verlegt, um 23 Sicherheitslücken in Adobe Reader und Acrobat zu schließen. Die neuen Software-Versionen beseitigen auch eine bereits für Angriffe ausgenutzte PDF-Schwachstelle sowie eine Flash-Lücke.

Adobe hat am 5. Oktober die neuen Versionen 9.4 sowie 8.2.5 seiner PDF-Produkte Adobe Reader und Acrobat für alle Plattformen bereit gestellt. Im Adobe Security Bulletin APSB10-21 nennt Adobe 23 gestopfte Lücken, von denen es 21 einem Angreifer ermöglichen können eingeschleusten Code auszuführen. Zwei weiteren verursachen einen Programmabsturz (Denial of Service, DoS).

Der erste Fehler in der Liste steckt in der Programmbibliothek cooltype.dll. Er führt zu einer unzureichenden Überprüfung von Parametern beim Umgang mit in PDF-Dateien eingebetteten Fonts. Die Folge ist ein Pufferüberlauf, der zum Programmabsturz führt. Im Speicher verbleibender, eingeschleuster Code wird ausgeführt. Die Schwachstelle wird bereits mit präparierten PDF-Dateien ausgenutzt, um Malware zu verbreiten.

Den zweiten Fehler hat der Adobe Reader 9.x vom Flash Player geerbt, der in das Programm integriert ist. Adobe hatte bereits im September die neue Version 10.1.85.3 seines Flash Player bereit gestellt, die diese Sicherheitslücke behebt. Angriffe mit präparierten PDF-Dateien, die diese Lücke ausnutzen, sind bislang nicht bekannt.

Adobe empfiehlt dringend den Wechsel auf die neuen Versionen 9.4 von Adobe Reader und Acrobat. Wer noch die 8.x-Versionen einsetzt und nicht auf 9.4 umsteigen kann oder will, sollte das bereit gestellte Update auf Version 8.2.5 installieren.