Adobe heeft tijdens de tweede patchdinsdag van dit jaar maar liefst 29 beveiligingslekken in Adobe Reader en Acrobat gedicht, waaronder een zero-day lek dat hackers actief misbruiken om systemen over te nemen. Sinds juni van dit jaar hanteert Adobe een eigen patchdinsdag, waarbij het elke drie maanden updates uitbrengt. De tweede patchcyclus moest het echter vanwege bekende problemen doorbreken en uitstellen. In juli ging het om 12 lekken die het via noodpatches moest repareren.

De software ligt vanwege alle beveiligingslekken al geruime tijd onder vuur, waarbij beveiligingsexperts bedrijven en thuisgebruikers steeds vaker adviseren om een alternatief te gebruiken. Ook banken zouden inmiddels uit angst op een alternatief overstappen. Voor wie de software toch blijft gebruiken, heeft de Belgische PDF-expert Didier Stevens een nieuwe versie van zijn PDFiD tool uitgebracht. Die kan nu ook de laatste zero-day PDF exploit herkennen.

De kwetsbaarheden die Adobe nu heeft gepatcht geven aanvallers in bijna alle gevallen de gelegenheid om willekeurige code uit te voeren, wat afhankelijk van de rechten van de ingelogde gebruiker volledige toegang betekent. De kwetsbaarheden bevinden zich in Adobe Reader 9.1.3 en Acrobat 9.1.3, Adobe Reader 8.1.6 en Acrobat 8.1.6 voor Windows, Macintosh en UNIX, en Adobe Reader 7.1.3 en Acrobat 7.1.3 voor Windows en Macintosh. Adobe adviseert gebruikers om naar versie 9.2, 8.1.7 of 7.1.4 te upgraden. Updaten kan via de links in dit bulletin.