Der US-Softwareriese Adobe hat an seinem Februar-Patchday wie angekündigt ein Sicherheitsupdate für die PDF-Anwendungen Reader und Acrobat veröffentlicht. Der Konzern mit Sitz in San Jose im Silicon Valley beseitigt damit 41 als kritisch eingestufte Anfälligkeiten, die das Einschleusen von Malware ermöglichen könnten.
Betroffen vom Security-Update sind Acrobat DC und Reader DC Version 2018.009.20050 und früher sowie Acrobat 2017 und Reader 2017 Version 2017.011.30070 und früher für Windows und Mac OS X. Darüber hinaus stehen auch Fixes für Acrobat DC und Reader DC Classic Track Version 2015.006.30394 und früher parat. Die Patches korrigieren 24 Out-of-Bounds-Speicherfehler, die eine Remotecodeausführung ermöglichen. Beliebiger Schadcode lässt sich mithilfe von sieben weiteren Out-of-Bounds-Speicherfehlern sowie fünf Use-after-free-Bugs ausführen. Das gilt auch für vier Pufferüberläufe. Darüber hinaus könnten Hacker Sicherheitsfunktionen der PDF-Anwendungen umgehen, um höhere Benutzerrechte zu erhalten.
Entdeckt wurden die Anfälligkeiten von Mitarbeitern von Cisco Talos, Clarified Security, Tencent und Source Incite sowie unabhängigen Sicherheitsforschern. Da Adobe im Gegensatz zu Google oder Microsoft keine Belohnungen für Sicherheitslücken ausschüttet, wurden die meisten Bugs über das Prämienprogramm von Trend Micro gemeldet.
