Patchday: Adobe verarztet über 100 Schwachstellen in Acrobat-Produkten
In den PDF-Anwendungen Acrobat und Reader schließt Adobe 104 teils kritische Lücken. Auch Connect, Experience Manager und Flash bekommen wichtige Updates.
(Bild: StockSnap/Wikipedia (Collage))
Mehrere Versionen der Adobe Software Acrobat und Acrobat Reader für Windows und macOS sind anfällig für Angriffe, die im schlimmsten Fall ermöglichen könnten, dass willkürlicher Code im Kontext des aktuellen Nutzers ausgeführt wird. Im Security Bulletin zum "Patch Tuesday" hat Adobe die Schwachstellen mit internen Severity Ratings von 2 (important) bis hin zu 1 (critical) versehen.
Neben der willkürlichen Codeausführung können Angreifer die Schwachstellen missbrauchen, um ihre Privilegien auszuweiten und Informationen auszulesen. Angriffe "in the wild" will der Hersteller bislang nicht beobachtet haben; dennoch rät er zum zügigen Umstieg auf die neuen, abgesicherten Versionen.
Verwundbare Ausgaben
Die Schwachstellen, denen insgesamt 104 CVE-Kennungen zugeordnet sind, stecken in Acrobat DC und Acrobat Reader DC bis einschließlich Version 2018.011.20040 des "Continuous Track" beziehungsweise bis einschließlich Version 2015.006.30418 des "Classic Track 2015". Ebenfalls verwundbar sind Acrobat 2017 und Acrobat Reader 2017 bis 2017.011.30080 inklusive.
Nutzer haben die Möglichkeit, über den Menüpunkt "Help > Check for Updates" in der jeweiligen Software ein manuelles Update zu machen; ansonsten erfolgt es automatisch im Rahmen des regulären Update-Prozesses. Option Nummer 3 (für Adobe-Reader-Anwender) ist die komplette Neuinstallation einer frischen Version aus dem Acrobat Reader Download Center. Weitere Details und Hinweise – etwa zum Update-Prozess für Firmenadmins – sind dem Security Bulletin zu entnehmen.
Weitere Lücken
Neben den Acrobat-Produkten ist auch Connect verwundbar. Davon sind alle Ausgaben bis einschließlich 9.7.5 auf allen Plattformen gefährdet. Nutzen Angreifer die Lücken aus, sollen sich sich beispielsweise höhere Rechte verschaffen können. Adobe stuft die Patches als "moderat" und "wichtig" ein.
Von Experience Manager sind die Ausgaben 6.0, 6.1, 6.2, 6.3 und 6.4 angreifbar. Davon sind alle Betriebssysteme betroffen. Auch hier gelten die Updates als "wichtig". Bei einem erfolgreichen Angriff könnten Hacker Informationen abziehen.
Kaum ein Patchday ohne Flash
Natürlich bekommt auch Adobes Sorgenkind Flash diesen Monat seine Patch-Medizin. Die Lücke gilt aber ausnahmsweise mal nicht als kritisch. Eine Ausnutzen kann aber dennoch zur Ausführung von Schadcode führen. Bedroht sind alle Version bis einschließlich 30.0.0.113 unter Chrome OS, Linux, macOS und Windows. Die Flash-Version 30.0.0.134 ist abgesichert.
Auf einer Webseite von Adobe kann man prüfen, welche Ausgabe auf dem eigenen Computer installiert ist. Wer Flash herunterlädt, muss aufpassen: Standardmäßig ist weitere Software zum Download vorausgewählt, welche man aber abwählen kann. Unter Windows 8.1 und 10 bekommen Internet Explorer 11 und Edge die aktuelle Flash-Ausgabe automatisch. Bei Chrome ist das auch der Fall. Eine Ende der schier endlosen Flash-Patcherei ist in Sicht: Ende 2020 will Adobe die Software einstampfen.
[UPDATE, 11.07.2018 09:10 Uhr]
Meldung um Infos zu Updates für Connect, Experience Manager und Flash ergänzt.
