Adobe patcht jetzt auch alte Reader-Versionen

Adobe hat jetzt Adobe Reader and Acrobat 8.1.4 und 7.1.1 veröffentlicht, die die gleichen Schwachstellen adressieren wie die vor einer Woche bereitgestellte Version 9.1. Zumindest eine davon wird bereits aktiv ausgenutzt, um Schadsoftware zu verbreiten. Wer also nicht auf die neueste 9er-Version umsteigen kann, sollte jetzt wenigstens die aktuelle Version seiner Serie einspielen. Das Updates gibt es vorerst nur für Windows und Mac, erst am 24. März will der Hersteller auch eine Version 9.1 für Unix bereitstellen.

Außerdem ist Adobe scheinbar erst jetzt aufgefallen, dass die vor über einer Woche veröffentlichte Version 9.1 eine weitere Schwachstelle beseitigt, die man bislang nicht erwähnt hatte. Jedenfalls hat Adobe jetzt eine Sicherheitsnotiz herausgegeben, die einen kritischen Fehler bei "der Eingabeprüfung einer JavaScript-Methode" dokumentiert.

Dubios auch, dass dieser Fehler laut Adobe in der im November 2008 veröffentlichten Version 8.1.3 bereits beseitigt wurde. Die damals publizierten Notizen enthalten jedoch keinen Hinweis darauf und der zugehörige CVE-Eintrag 2009-0927 wurde auch erst am 17. März reserviert.

Das alles liest sich so, als ob Adobe immer nur die Informationen zu Sicherheitslücken veröffentlicht, bei denen es sich wirklich gar nicht mehr vermeiden lässt und dabei selbst schon mal den Überblick verliert. Damit erzeugt Adobe ein völliges Informationschaos in Sicherheitsfragen, das dem Vertrauen in seine Produkte sicher nicht zuträglich ist.

Siehe dazu auch:

• Security Updates available for Adobe Reader and Acrobat Sicherheitsnotiz von Adobe
• Adobe schließt kritische Lücke in Reader und Acrobat, Meldung zu Version 9.1 auf heise Security

• Adobe Reader im Heise-Softwareverzeichnis
• Foxit Reader, eine kostenlose Alternative

(ju)