kritische Lücken in Adobe Reader und Acrobat geschlossen

[sce87]

Kritische Lücken in Adobe Reader und Acrobat geschlossen

 

Adobe hat mit Updates außer der Reihe zwei kritische Sicherheitslücken im Adobe Reader und Acrobat geschlossen. Ein Integer-Überlauf in der Datei CoolType.dll sorgt dafür, dass Angreifer beliebigen Code in den Rechner einschleusen können. Hierzu muss sein Opfer lediglich eine PDF-Datei öffnen, die einen präparierten TrueType-Schriftsatz enthält. Über die zweite Lücke kann man Anwender mit manipulierten Warnhinweisen unter Umständen dazu bringen, unbewusst die Ausführung einer beliebigen lokalen Datei zu genehmigen. Betroffen ist der Adobe Reader bis einschließlich Version 9.3.3 für Windows, Mac OS und Linux sowie Adobe Acrobat bis Version 9.3.3 für Windows und Mac OS. Zudem bringen die Updates auf Version 9.3.4 die Flash-Player-Komponente der Anwendungen auf den neuesten Stand. Zumindest unter Windows bietet Adobes Updatemanager die neue Version automatisch zur Installation an. Nach Aktualisierung der Software ist ein Neustart erforderlich. Nutzern der 8er-Versionen empfiehlt Adobe, die neu veröffentlichten Updates auf 8.2.4 zu installieren, wodurch die Lücke ebenfalls geschlossen wird.

 

Entdeckt hat die kritische Integer-Overflow-Lücke Sicherheitsexperte Charlie Miller, der sie Ende Juli auf der Black-Hat-Konferenz erstmals der Öffentlichkeit präsentierte – wovon zunächst aber kaum jemand Kenntnis nahm. Unabhängig davon hat auch Tavis Ormandy von Googles Sicherheitsteam die Lücke entdeckt und bei Adobe gemeldet.