Adobe zal over tien dagen een noodpatch voor een zero-day lek in Adobe Reader en Acrobat uitgeven dat tijdens de Black Hat conferentie werd onthuld. Beveiligingsonderzoeker Charlie Miller onthulde de kwetsbaarheid, hoewel hij niet alle details prijsgaf. Aan de hand van de gepubliceerde informatie is het volgens Adobe eenvoudig genoeg voor aanvallers om het lek en bijbehorende exploit te reconstrueren.
Het bedrijf zal dan ook niet tot de volgende patchcyclus van 12 oktober wachten om het gat te dichten. Vooralsnog is Adobe niet bekend met aanvallen die het lek misbruiken. De update die op maandag 16 augustus verschijnt is er voor de Windows, Macintosh en UNIX versies van Adobe Reader en Acrobat 9.3.3 en eerder.
Verrast
De publicatie van het lek verliep volgens Miller erg vreemd. Ondanks de ernst van de kwetsbaarheid nam niemand van de honderden aanwezigen de moeite om hierover te Twitteren of het op andere wijze te melden. Iets wat volgens de onderzoeker is toe te schrijven aan de slechte beveiliging van Adobe's software.
Tussen de publicatie op Black Hat en het uitkomen van de patch zitten drie weken en dat is volgens de onderzoeker meer dan acceptabel. "Ik ben verrast over hoe snel ze het patchen."
Deze posting is gelocked. Reageren is niet meer mogelijk.