Adobe heeft tijdens de patchdinsdag van mei een nieuwe versie van Adobe Reader en Acrobat uitgebracht waarmee het 27 beveiligingslekken in de PDF-lezers verhelpt. Via 24 kwetsbaarheden was het voor een aanvaller mogelijk om het onderliggende besturingssysteem over te nemen. In het geval van Adobe Reader XI is het daarbij wel nodig om uit de sandbox-beveiliging te breken.
Dat was in dit geval ook mogelijk, aangezien er één kwetsbaarheid is verholpen waardoor de sandbox-beveiliging kon worden omzeild. De resterende twee kwetsbaarheden maakten het mogelijk om het IP-adres van Adobe-gebruikers te achterhalen als ze een PDF-bestand openden en betrof een lek in de manier waarop de PDF-lezer omging met domeinen die door het besturingssysteem waren geblacklist.
Google
22 van de nu verholpen beveiligingslekken waren gevonden door het Google Security Team. Google Chrome beschikt over een ingebouwde PDF-lezer, maar in tegenstelling tot de ingebouwde Flash Player, is die door Google zelf ontwikkeld.
Verder staat in de lijst met onderzoekers die lekken ontdekten de naam van iPhone- en PS3-hacker George Hotz. Hij vond twee kwetsbaarheden die aan het Zero Day Initiative verkocht werden en zo bij Adobe terecht kwamen. Updaten naar de nieuwste versie kan via de PDF-lezer zelf en Adobe.com.
Deze posting is gelocked. Reageren is niet meer mogelijk.