Adobe heeft vandaag een recordaantal kwetsbaarheden in Acrobat Reader en Acrobat gepatcht, alsmede updates voor Flash Player uitgebracht. Via de beveiligingslekken had een aanvaller in het ergste geval een systeem volledig kunnen overnemen als er een kwaadaardig pdf-document werd geopend.
De updates voor Acrobat en Reader verhelpen in totaal 104 kwetsbaarheden. Niet eerder werden er zoveel beveiligingslekken in de pdf-lezers tegelijkertijd gepatcht. Het vorige "record" stamt uit 2016, toen het om 92 lekken ging. Via 50 kwetsbaarheden die als ernstig zijn bestempeld had een aanvaller willekeurige code kunnen uitvoeren. 53 beveiligingslekken kregen de beoordeling belangrijk en maakten het mogelijk om informatie te achterhalen. Het laatste beveiligingslek is ook als ernstig beoordeeld en betreft een "security bypass" waardoor een aanvaller zijn rechten had kunnen verhogen.
Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2018.011.20055, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30096, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30434 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe.
In het geval van Flash Player gaat om het twee beveiligingslekken waardoor het mogelijk was om informatie te achterhalen of willekeurige code op het systeem uit te voeren. Gebruikers krijgen het advies om te updaten naar Flash Player 30.0.0.134. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet.
Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe adviseert gebruikers, net als bij Acrobat, om de update snel te installeren, waarbij als voorbeeld 'binnen 30 dagen' wordt genoemd. Adobe verwacht niet dat aanvallers op korte termijn misbruik van de nu gepatchte kwetsbaarheden zullen maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.