Adobe bietet unsichere Reader-Versionen zum Download an
Angreifer könnten mit präparierten PDF-Dokumenten PCs von Anwendern infizieren. Zwar steht seit Anfang Juni die gepatchte Version 9.1.2 zur Verfügung, allerdings kann man diese offenbar nur über die Update-Funktion des Readers beziehen.
- Daniel Bachfeld
Adobe verteilt über seine Download-Seiten ältere, verwundbare Versionen des Adobe Reader. Angreifer könnten dadurch mittels präparierter PDF-Dokumente PCs von Anwender infizieren. Aufgefallen war das Problem dem Sicherheitsdienstleister Secunia, der Meldungen von Nutzern des Personal Software Inspectors erhielt, dass dieser die gerade heruntergeladene und installierte Version des Reader als unsicher monierte.
In der Tat erhält man beim Aufruf der Seite get.adobe.com/de/reader mit einem Windows-System die veraltete Version 9.1 zum Download angeboten, die mehrere Sicherheitslücken enthält. Selbst wenn man über die Option "Andere Version" versucht, die Version manuell auszuwählen, bekommt man nur alte Fassungen angeboten. Ruft man die Seite hingegen mit einem Linux-System auf, so bietet der Server die aktuelle Version 9.1.2 an, die Adobe immerhin bereits am 9. Juni veröffentlicht hat.
Immerhin bietet der Reader über die integrierte Update-Funktion laut Secunia eine Aktualisierung an, allerdings kann es dann unter Umständen schon zu spät sein. Ein offizielle Stellungnahme war auf Anfrage von heise Security nicht zu erhalten. Anwender sollten das Update im Reader manuell starten.
Aufgrund von Sicherheitsproblemen in seinen Produkten hatte Adobe erst kürzlich ein Programm aufgelegt, bei dem in regelmäßigen Patch-Zyklus neue Version des Adobe Reader und Acrobat erscheinen sollen. Alle drei Monate sollen jeweils den zweiten Dienstag eines Monats Sicherheits-Updates erscheinen – parallel zu Microsofts Updates. In den drei Monaten wollen die Entwickler im Rahmen des neu eingeführten Secure Product Lifecycle (SPLC) den Code auf Schwachstellen untersuchen und diese schließen. Bislang veröffentlichte Adobe seine Sicherheits-Updates nur beim Bekanntwerden von Sicherheitslücken. Allerdings nützt dieses Programm wenig, wenn man dann weiterhin ungepatchte Versionen verteilt.
Siehe dazu auch:
- Patchday bei Adobe
- Adobe plant eigenen Patchday
- Antivirenhersteller rät vom Einsatz des Adobe Reader ab
(dab)
