Adobe heeft bevestigd dat er niet één maar twee zero-day beveiligingslekken in Adobe Reader en Acrobat zitten waardoor aanvallers op dit moment actief computers overnemen. De kwetsbaarheden bevinden zich in de meest recente versies van Adobe Reader en Acrobat 9.5.3, 10.1.5 (X) en 11.0.01 (XI) voor zowel Windows als Mac. De aanval werd door beveiligingsbedrijf FireEye ontdekt.

Het openen van een PDF die via de e-mail wordt verstuurd is voldoende om aanvallers volledige controle over de computer te geven. Het is voor het eerst dat aanvallers erin zijn geslaagd om uit de sandbox-beveiliging van Adobe Reader te beken. Eerdere exploits tegen de PDF-lezer werkten niet tegen de nieuwste versie. Door de sandbox heeft een aanvaller namelijk twee lekken nodig.

Eén voor de sandbox en één voor de applicatie zelf. Beveiligingsbedrijf FireEye stelt in een nieuwe analyse dat de exploits ook de Data Execution Prevention (DEP) en Address space layout randomization (ASLR) beveiligingsmaatregelen omzeilen, die het lastiger voor aanvallers moeten maken om een kwetsbaarheid te misbruiken.

Oplossing
Adobe werkt inmiddels aan een update, maar weet nog niet wanneer die beschikbaar is. Gebruikers van Adobe Reader XI en Acrobat XI voor Windows kunnen zich beschermen door Protected View in te schakelen. Standaard schakelt Adobe Reader de 'Protected Mode' in, maar dat geldt niet voor de Protected View.

Dit is in te schakelen via Edit > Preferences > Security (Enhanced) menu > "Files from potentially unsafe locations". Voor systeembeheerders in organisaties is de mogelijkheid om Protected View via een registeraanpassing via GPO of andere methode uit te rollen.