Kritische Zero-Day-Lücke gefährdet Adobes Reader und Acrobat

EnterpriseSicherheit

Angreifer können sie ausnutzen, um Schadcode außerhalb der Sandbox auszuführen. Adobe empfiehlt betroffenen Nutzern, schnellstmöglich ihre PDF-Anwendungen auf die Versionen 11.0.8 oder 10.1.11 zu aktualisieren. Zudem veröffentlicht es ein Sicherheitsupdate für Flash Player.

Adobe hat mitgeteilt, dass in Reader und Acrobat eine als kritisch eingestufte Zero-Day-Lücke steckt. Nach Unternehmensangaben gibt es wenige zielgerichtete Angriffe auf Nutzer von Reader für Windows. Davon nicht betroffen sind Reader und Acrobat für OS X. Adobe legt Nutzern nahe, das seit gestern Abend für seine PDF-Anwendungen erhältliche Sicherheitsupdate schnellstmöglich zu installieren.

logo_adobe_800x600Der Fehler steckt in Reader und Acrobat XI (11.0.7) und früher sowie Reader und Acrobat X (10.1.10) und früher, das geht aus einer Sicherheitsmeldung hervor. Nutzer, die nicht auf Reader und Acrobat 11.0.8 umsteigen können, steht ein Update auf die Version 10.1.11 zur Verfügung.

Angreifer können die Schwachstelle ausnutzen, um die in Reader und Acrobat integrierte Sandbox zu umgehen. Auf diese Weise lasse sich nativer Code mit erweiterten Benutzerrechten unter Windows ausführen, erklärt Adobe. Die Kaspersky-Mitarbeiter Costin Raiu und Vitaly Kamluk haben die Schwachstelle entdeckt.

Auch für den Flash Player hat Adobe ein Update veröffentlicht. Es behebt sieben Lücken in Flash Player 14.0.0.145 für Windows und OS X sowie Flash Player 11.2.202.394 für Linux, die ebenfalls als kritisch eingestuft werden. Sie ermöglichen Angreifern, die Kontrolle über ein anfälliges System mithilfe manipulierter Flash-Dateien zu übernehmen.

Mit dem Update werden fünf Speicherlecks geschlossen. Diese können genutzt werden, um die Sicherheitsfunktion Adress Space Layout Randomization (ASLR) auszuhebeln. Adobe zufolge ermöglicht ein Use-after-free-Bug zudem das Einschleusen und Ausführen von Schadcode. Unter anderem hat Chris Evans von Googles Project Zero die Schwachstellen entdeckt.

Betroffenen Nutzern von Flash Player steht Version 14.0.0.176 für Internet Explorer und Safari sowie 14.0.0.179 für Chrome, Firefox und Opera zur Verfügung. Google und Microsoft haben zudem Updates für die in ihren Browsern Chrome und Internet Explorer integrierten Flash-Plug-ins bereitgestellt. Linux-Nutzer sollten Flash Player 11.2.202.400 einspielen.

Downloads:

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen