Weer kritiek gat geslagen in Adobe Reader

Een lek in de Adobe Reader-software maakt het voor kwaadwillenden mogelijk om computers op afstand over te nemen. De fout zit in een JavaScript-functie van de veelgebruikte applicatie om PDF-bestanden te lezen. Adobe is op de hoogte en onderzoekt de kwetsbaarheid nu.

Het securityteam van de softwareleverancier bevestigt dat alle huidige versies van Adobe Reader en Acrobat kwetsbaar zijn voor dit beveiligingslek. De ontwikkelaars werken nu aan patches voor alle versies voor alle besturingssystemen (Windows, Mac OS X, Linux en Solaris). Het is nog niet bekend wanneer die patches uitkomen. "We zijn ons op dit moment niet bewust van meldingen dat er al exploitcode hiervoor op internet is."

Uitschakelen

De Amerikaanse ict-securitydienst US-CERT waarschuwt voor dit beveiligingslek. Het geeft het advies om de JavaScript-functionaliteit in Adobe Reader geheel uit te schakelen. Adobe's securityteam raadt dit ook aan. Dat advies is eerder dit jaar ook al gegeven voor een ander gat in de Adobe-software. Die preventieve maatregel bleek toen niet te helpen.

Hoofdonderzoeker Mikko Hypponen van securityleverancier F-Secure geeft een heel ander advies. Hij zei vorige week op de RSA-securityconferentie dat gebruikers moeten overstappen naar andere PDF-software. Die van Adobe is te vaak doelwit van crackers, stelt Hypponen. Volgens hem mikt 47 procent van alle gerichte (targeted) aanvallen die dit jaar zijn uitgevoerd op gaten in de PDF-leesprogrammatuur van Adobe. Er zijn de afgelopen maanden in totaal al zes verschillende gaten ontdekt in die software.