Adobe schließt Sicherheitslücken im Reader

Nach Angaben von Adobe wurden 14 kritische Sicherheitslücken in allen noch gepflegten Versionszweigen von Adobe Reader und Adobe Acrobat geschlossen. Die meisten der als kritisch eingestuften Sicherheitslücken konnten dazu missbraucht werden, Schadcode einzuschleusen und sich höhere Rechte zu erschleichen. Die neuen Adobe-Versionen stehen seit dem 13.09.2011 zur Verfügung.

Die neuen Sicherheitspatches betreffen sowohl die Programme für Windows, als auch die Mac- und Linux-Versionen. Wer noch einen Reader der Produktlinien 9.x oder 8.x installiert hat, sollte das Programm möglichste auf die Version 10.1.1 aktualisieren. Wer das nicht kann oder will, für den bietet Adobe Updates auf Adobe Reader und Adobe Acrobat 9.4.6 beziehungsweise 8.3.1 an. Für Linux ist die Reader-Version 9.4.5 geplant, die aber wahrscheinlich erst im November erscheint. Adobe weist darauf hin, dass die Versorgung mit Sicherheitsupdates für Adobe Reader 8.x und Acrobat 8.x für Windows und Macintosh am 3.11.2011 ausläuft.

Adobe Reader 10.1.1 bietet unter Windows allerdings mehr Sicherheit. Das Programm arbeitet in einer Sandbox, die Schreibzugriffe auf das Betriebssystem vom Reader aus unterbinden soll. Auch das dazugehörige Browser-Plugin bietet diese Funktion und damit mehr Schutz vor Angriffen über manipulierte PDF-Dateien.

Auch hat Adobe angekündigt, gerade daran zu arbeiten, das Problem mit den Stammzertifikaten in den Griff zu bekommen. Im Adobe Reader 10.1.1 geschieht das automatisch über die Adobe Approved Trust List (AATL). Adobe beabsichtigt die Zertifikate der kompromittierten DigiNotar-CAs kurzfristig aus der gesamten Produktpalette zu entfernen. Solange das noch nicht umgesetzt ist, können Nutzer die Zertifikate auch selbst entfernen. Dazu hat Adobe eine englischsprachige Anleitung veröffentlicht.