Kritische Lücke in Adobe Acrobat: Bitte noch einmal patchen!

Adobe hat ein neues Update für seinen Acrobat Reader veröffentlicht. Dieses enthält zwei Patches und wurde außerhalb des normalen Patchday-Zykluses der Firma veröffentlicht, da beim August-Patchday eine kritische Sicherheitslücke nicht richtig geschlossen worden war. Dabei handelt es sich um CVE-2017-11223, einen Speicherverwaltungsfehler vom Typ Use After Free, den Angreifer missbrauchen können um Schadcode per PDF in den Reader einzuschleusen und dann auszuführen.

Am Patchday hatte Adobe die Reader-Versionen 2017.012.20093, 2017.011.30059 und 2015.006.30352 veröffentlicht. Diese wurden nun durch die Versionen 2017.012.20098, 2017.011.30066 und 2015.006.30355 ersetzt. Anwender sollten sicherstellen, dass sie die neuen Updates erhalten und installiert haben, damit die kritische Lücke nun geschlossen ist. Wie dringlich dies ist zeigt die Tatsache, dass Adobe das Update nicht einfach zwei Wochen bis zum nächsten Patchday aufgeschoben hat.

Zusätzlich hat Adobe mit dem Update auch Kompatibilitätsprobleme behoben, die bei der Nutzung von XFA-Formularen im Reader aufgetreten waren. Dafür hatte die Firma bereits drei Hotfixes für die Patchday-Updates zum Download angeboten. Diese Hotfixes werden mit dem neuen Update überflüssig. (fab)