Google-Forscher warnen vor weiter ungepatchten Zero-Day-Lücken in Adobe Reader

Adobe hat Anfang der Woche mit seinem Sicherheitsupdate für Reader und Acrobat einige Schwachstellen nicht gepatcht. Darauf weisen die beiden Google-Mitarbeiter Mateusz Jurczyk und Gynvael Coldwind hin.

Die Anfälligkeiten stecken vor allem in der Linux-Version von Adobe Reader. Einige der Probleme betreffen aber auch die Ausgaben für Windows und Mac OS X.

Im Fall der Linux-Version haben die beiden Sicherheitsforscher nach eigenen Angaben mit Adobe zusammen an Patches für 14 “neue eindeutige Abstürze” und neun “Testfälle” gearbeitet. Alle Lücken seien möglicherweise anfällig für das Einschleusen und Ausführen von Schadcode.

Adobe plane keine weitere Aktualisierung für Reader vor dem 27. August, schreiben Jurczyk und Coldwind in einemBlog. Deswegen hätten sie sich entschlossen, mit den Informationen an die Öffentlichkeit zu gehen. “Adobe will die verbliebenen Bugs mit einem kommenden Update für die Linux-Version von Reader beseitigen.” Die ersten 24 Fehler habe Adobe mit zwölf unterschiedlichen Code-Fixes behoben. Für die restlichen Probleme werde es wahrscheinlich weitere acht Fixes benötigen.

“Auch wenn uns keine Beweise dafür vorliegen, dass die Lücken schon ausgenutzt werden, sind wir beunruhigt”, heißt es weiter in dem Blog. Basierend auf den Unterschieden zwischen der alten und der jetzt gepatchten Windows-Version sei es ohne viel Aufwand möglich, einen funktionierenden Exploit zu entwickeln. “Wir gehen von einem ernsten Risiko für Nutzer von Adobe Reader aus.”

Die Anfälligkeiten seien mithilfe von frei erhältlichen PDF-Dokumenten gefunden worden. Sie seien dafür mit einfachen Algorithmen wie “Bitflipping” manipuliert worden. “Wir halten es für möglich, dass auf das Aufspüren von Fehlern und Schwachstellen spezialisierte Dritte von den Problemen wissen oder sie schon missbrauchen.”

Adobe hatte am Dienstag 20 Sicherheitslöcher in Reader und Acrobat für Windows und Mac OS X gestopft. Die Linux-Variante von Adobe Reader wird im zugehörigen Sicherheitsbulletin nicht erwähnt. Sie wurde zuletzt im April auf die Version 9.5.1 aktualisiert, die allerdings nur in englischer Sprache vorliegt. Deutschsprachige Anwender erhalten auf der Adobe-Website weiterhin die Version 9.4.2, die Adobe seit September 2011 als unsicher einstuft.

[mit Material von Tom Brewster, TechWeekEurope]