Adobe will die kritische Sicherheitslücke in den aktuellen Versionen von Reader und Acrobat bereits außerplanmäßig am 5. Oktober schließen, wie das Unternehmen mitteilte. Der für den 12. Oktober angesetzte Patchday fällt dadurch aus. Die Lücke ist bereits seit Anfang September bekannt und ermöglicht es Angreifern, durch präparierte PDF-Dateien die Kontrolle über fremde Rechner zu übernehmen.Bereits seit mehreren Wochen wird die Lücke aktiv zur Verbreitung von Malware ausgenutzt, wodurch Adobe in Zugzwang geraten ist. Auch der integrierte Flash-Player ist verwundbar und soll mit dem Update auf den neuesten Stand gebracht werden. Selbst wenn man den auf dem System installierten Flash Player bereits aktualisiert hat, nutzten Adobe Reader und Acrobat noch alte Versionen, die der Hersteller separat pflegt.
Vorübergehend kann man sich auch mit Microsoft EMET-Tool vor einer Infektion durch verseuchte PDF-Dateien schützen. Wie das genau funktioniert, erklärt der Artikel Schadensbegrenzer bei heise Security.
Adobe muss den im Vorjahr eingeführten Patchday wieder einmal vorziehen und wirft damit erneut die Frage auf, ob man den anvisierten 3-Monats-Zyklus zugunsten der Anwendersicherheit nicht ohnehin verkürzen oder ganz abschaffen sollte.
(heise online 01-10.2010)