Adobe patcht twee 0-day lekken in de meeste recente versies (9.x, 10.1.5 en 11.0.1) van Reader en Acrobat op Windows, Mac en Linux. Gebruikers op Windows en Mac OS X kunnen hun PDF-lezers via het ingebouwde updatemenu voorzien van een veilige versie. De beveiligingsupdate voor Linux is beschikbaar als aparte installatie.

Gebruikers wordt geadviseerd om de update direct uit te voeren. In een vers uitgebracht securitybulletin krijgt de update de hoogste prioriteit mee. Adobe schrijft daarin tevens dat het op de hoogte is van het actieve misbruik dat momenteel gemaakt wordt van het lek.

Sandbox omzeild

De 0-day gaten werden vorige week dinsdag ontdekt door beveiligers van FireEye. Zij ontdekte dat malwaremakers actief misbruik maakten van twee kwetsbaarheden. De gevanceerde zero-day omzeilde in twee stappen de extra sandbox-beveiliging en installeerde vervolgens twee malafide DDL-bestanden op de schijf.

Bij een succesvolle aanval toonde één van die bestanden een zogenaamde foutmelding, terwijl de andere op de achtergrond een PDF-document opende. Het grootste risico bleek een volledige overname van een computersysteem terwijl het lek in de PDF-lezers het systeem ook van afstand konden doen crashen.

Geen weerstand

FireEye stelde Adobe direct op de hoogte, alvorens met meer details van het lek te komen. Daaruit bleek dat ook de DEP- (Data Execution Prevention) en ASLR-beveiliging (Address Space Layout Randomization) geen weerstand konden bieden. Adobe kwam in eerste instantie met een workaround waarbij de Protected View-modus inschakelen het devies was.