De softwarefabrikant verwacht dat lapmiddel morgen af te hebben. Dat meldde het bedrijf afgelopen donderdag in de waarschuwing voor het gat. Dat zit in de 9- en 8-reeks, maar ook in oudere versies van zowel de gratis pdf-reader als in pdf-maker Acrobat.

Kritiek lek

Dit betreft alle uitvoeringen van die Adobe-software; dus voor Windows en voor Mac OS X en Unix. De malwaremakers hebben het vooral voorzien op Windows. Adobe denkt morgen een patch uit te kunnen brengen. Die is dan voor de recente versies 9.1.3 en 8.1.3.

Het gat krijgt van Adobe zelf de hoogste 'waardering': kritiek. Dat houdt in dat misbruik van dit lek kwaadwillenden in staat stelt eigen code uit te voeren op de doelcomputer. Dat maakt het weer mogelijk pc's over te nemen om ze vervolgens in te zetten als onderdeel van een botnetwerk.

Beschermingsmaatregelen

Adobe geeft in het security bulletin al aan dat er "meldingen zijn dat dit lek al in de praktijk ('in the wild') in beperkte mate wordt misbruikt voor gerichte aanvallen". Pc-gebruikers met Windows Vista, waarop security-maatregel DEP is geactiveerd, zijn niet kwetsbaar voor de nu rondgaande malware.

Een andere beschermingsmaatregel is het uitschakelen van JavaScript. Adobe zelf geeft al aan dat dit alleen helpt tegen een specifieke malwarevariant die nu bekend is. Een variant die zijn malafide werk doet zónder gebruik van JavaScript is mogelijk, bekent de softwaremaker. Dat is in februari ook al gebleken voor een ander pdf-gat.

Vierde 0-day

Het gat in Adobe's software wordt nu al actief misbruikt. Het is het vierde exemplaar dit jaar waarvoor de fabrikant nog geen patch heeft. Dergelijke lekken worden 0-day (zero-day) gaten genoemd. Het lek van febrauri is in maart pas gedicht, waarna het beveiligingsteam van Adobe weer mocht hollen om 0-day gaten te patchen in mei en juli.

Ook die gaten waren al veel langer bekend; tot wel 7 maanden. Daarna heeft een gat in de ontwikkelsoftware van Microsoft weer geleid tot een patch van Adobe. Door al deze noodpatches heeft de softwareproducent ook zijn nieuwe regelmatige patch-cyclus al na de eerste keer moeten uitstellen.