Adobe schließt 14 Lücken in Reader und Acrobat

Der Hersteller Adobe hat neue Versionen von Reader und Acrobat veröffentlicht , um mehrere kritische Sicherheitslücken zu schließen. Betroffen sind jeweils die Versionen 10.x, 9.x und 8.x für Windows, Linux und Mac. Adobe empfiehlt die Updates 10.1.1 für Reader X und Acrobat X zu installieren; diese Version bietet durch ihre Sandbox unter Windows zusätzlichen Schutz. Daneben stehen aber auch Adobe Reader 9.4.6 und 8.3.1 sowie Adobe Acrobat 9.4.6 und 8.3.1 zum Download bereit. Adobe Reader 9.4.6 for UNIX soll allerdings erst am 7. November erscheinen.

In der Version 10.x hat Adobe wie angekündigt die Adobe Approved Trust List (AATL) aktualisiert, um sämtliche DigiNotar-Zertifikate zu entfernen. Die Versionen 9.x unterstützen bislang noch keine dynamischen Updates für die AATL, dies soll erst in späteren Versionen folgen. Bis dahin sollen Anwender die Zertifikate manuell löschen. Eine Anleitung dazu hat der Hersteller auf seinen Seiten veröffentlicht .

Beim letzten Update für ein Adobe-Produkt gab es Kritik von Sicherheitsspezialisten, der Hersteller wolle über die wahre Zahl der geschlossenen Lücken hinwegtäuschen . So hatte Adobe für ein Update des Flash Player nur 13 Lücken angegeben. Der für Google tätige Sicherheitsspezialist Tavis Ormandy wies jedoch darauf hin, dass es mehr als 400 waren. (dab)

Adobe erklärt unterschiedliche Zählung bei Flash-Player-Lücken

Brad Arkin, Adobes Sicherheitsbeauftragter, hat offiziell Stellung zu den Vorwürfen genommen, man habe beim letzten Update für den Flash Player 400 Sicherheitslücken unterschlagen. Der Fehlerbericht enthielt nur Beschreibungen zu 13 Sicherheitslücken mit offiziellen CVE-Nummern (Common Vulnerability Enumeration), die eine eindeutige Zuordnung ermöglichen.

Der für das Google-Sicherheitsteam arbeitende Tavis Ormandy echauffierte sich jedoch darüber, dass er 400 potenzielle Sicherheitslücke an Adobe gemeldet habe, diese aber nicht in der Liste auftauchen. Nach Angaben von Arkin habe man die Fehler nicht offiziell erwähnt, da sie im Rahmen des Secure Product Lifecycle (SPLC) entdeckt wurden. Intern entdeckten Fehlern würde nach Maßgabe von Adobe keine CVE-Nummer zugeordnet. CVE-Nummern seien laut Adobe nur für öffentliche bekannte Lücken gedacht. Das gelte auch dann, wenn die Informationen über die Fehler von Partnern kämen – und Google arbeitet zumindest bei der Sicherheit des Flash Players mit Adobe zusammen.

Darüber hinaus sei Ormandy den meisten Fehlern mit Fuzzing auf die Spur gekommen, was zwar zu 400 Abstürzen geführt habe, sich aber auf 104 (unique) Fehler habe reduzieren lassen. Adobe hatte bereits in der ersten Version seines offiziellen Fehlerberichts Ormandy und Google für ihre "großartige Arbeit bei der Verbesserung des Flash-Player-Updates" gedankt, das reichte aber Ormandy nicht. Adobe hat den Bericht nun aktualisiert und Ormandy explizit an erster Stelle mit der CVE-Nummer CVE-2011-2424 eingefügt. Diese fasst nun Ormandys Fehlersammlung zusammen. (dab)