Im Rahmen des August-Patchdays konnte Adobe eine kritische Lücke in seinem PDF-Reader nicht ausreichend gut abdichten. Deshalb bietet der Hersteller jetzt einen weiteren Patch an, den man als Benutzer unbedingt installieren sollten.

Das neue Update für Adobes Acrobat Reader bringt zwei weitere Patches und wurde außerhalb des üblichen Patchday-Zyklus‘ der Firma veröffentlicht, weil die zugrunde liegende kritische Sicherheitslücke beim August-Patchday nicht korrekt geschlossen worden war.

Dabei handelt es sich um den Speicherverwaltungsfehler CVE-2017-11223 vom Typ Use After Free, den Angreifer dazu missbrauchen können, um dadurch über eine PDF-Datei Schadcode in den Reader einzuschleusen und diesen dann auch auszuführen.

Am letzten Patchday hatte Adobe die Reader-Versionen 2017.012.20093, 2017.011.30059 und 2015.006.30352 veröffentlicht, die nun durch die Versionen 2017.012.20098, 2017.011.30066 und 2015.006.30355 ersetzt werden. Nutzer des PDF-Readers sollten sicherstellen, dass sie das neue Update bekommen und auch installiert haben, damit die kritische Lücke auch wirklich dicht ist.

Wie dringend das ist, zeigt ja schon allein die Tatsache, dass Adobe mit dem Update nicht einfach die 14 Tage bis zum nächsten Patchday gewartet, sondern die Patches jetzt „außer der Reihe“ bereitgestellt hat.

Mit dem neuen Update hat Adobe auch gleichzeitig Kompatibilitätsprobleme behoben, die bei Nutzung von XFA-Formularen im Acrobat Reader aufgetreten sind. Zu diesem Zweck hatte das Unternehmen schon drei Hotfixes mit den Patchday-Updates zum Download bereitgestellt. Diese Hotfixes werden durch das neue Update dann auch überflüssig.