Zwei kritische Lücken in Adobe Acrobat und Reader | heise Security

Es gibt wichtige Sicherheitsupdates für Adobe Acrobat und Reader. Die PDF-Anwendungen sind über zwei als kritisch eingestufte Schwachstellen unter macOS und Windows attackierbar. Abgesicherte Versionen stehen zur Installation bereit.

In den Standardeinstellungen sollten sich die Anwendungen automatisch aktualisieren. Passiert das nicht, kann man den Vorgang unter dem Menüpunkt “Hilfe” anstoßen. Für eine effizientere Verteilung können Admins Enterprise Installer von Acrobat und Reader herunterladen und die Updates über verschiedene Methoden – beispielsweise SCUP/SCCM oder SSH – installieren.

Die Entwickler haben die Lücken in Acrobat DC/Reader DC (Continuous Track) 2019.010.20069, Acrobat 2017/Reader DC 2017 2017.011.30113 und Acrobat DC/Reader DC (Classic 2015) 2015.006.30464 geschlossen. Alle vorigen Versionen sind einer Warnmeldung von Adobe zufolge von den Sicherheitslücken betroffen.

Remote Code Execution

Eine Schwachstelle (CVE-2018-16011) sollen Angreifer ohne Authentifizierung aus der Ferne ausnutzen können, um auf Computern Schadcode mit den Nutzerrechten eines Opfers auszuführen. Die zweite Lücke (CVE-2018-16018) könnten Angreifer zum Umgehen von Sicherheitsmechanismen ausnutzen. Weitere Details dazu sind derzeit nicht bekannt. Die Entdeckung von beiden Schwachstellen geht auf Sicherheitsforscher von Trend Micros Zero Day Initiative zurück.

(des)

Source