Het veiligheidslek doet zich voor in versie 8.1.2 van de Adobe Reader. Versie 9 van de Reader, die in juni van dit jaar werd uitgebracht, is niet kwetsbaar voor het veiligheidsprobleem. Gebruikers van versie 8.1.2 die de Javascript-functionaliteit in de applicatie hebben uitgeschakeld, lopen ook geen gevaar.

Om de bug te misbruiken, moet een aanvaller kwaadaardige Javascript-code toevoegen aan een pdf-bestand. Op het moment dat een slachtoffer het betreffende bestand opent, kan de code de geheugentoewijzing van de Reader manipuleren en zo de macht over de pc overnemen.

Het lek werd in mei ontdekt door security-expert Damian Frizza van Core Security toen hij onderzoek deed naar een vergelijkbare kwetsbaarheid in de applicatie Foxit Reader. Core Security besloot Adobe onmiddellijk in te lichten. De twee bedrijven hebben samengewerkt aan een patch, stelt Core Security in een persverklaring.

Core Security heeft een chronologisch overzicht online gezet van alle communicatie met Adobe. Daaruit blijkt dat Adobe aanvankelijk van plan was om de patch al in juli uit te brengen. Ook daarna is de release van de reparatiesoftware nog enkele malen vertraagd. Bron: Techworld