Beim August-Patchday konnte Adobe eine kritische Lücke in seinem PDF-Reader nicht gut genug abdichten. Jetzt bietet der Hersteller einen weiteren Patch an, den die Benutzer unbedingt installieren sollten.

Das neue Update für seinen Acrobat Reader zwei weitere Patches und wurde außerhalb des normalen Patchday-Zyklus‘ der Firma veröffentlicht, weil die kritische Sicherheitslücke beim August-Patchday nicht korrekt geschlossen worden war. Es handelt sich dabei um den Speicherverwaltungsfehler CVE-2017-11223 vom Typ Use After Free, den Angreifer dafür missbrauchen können, um so Schadcode durch eine PDF-Datei in den Reader einzuschleusen und den dann auszuführen.

Am Patchday hatte Adobe die Reader-Versionen 2017.012.20093, 2017.011.30059 und 2015.006.30352 veröffentlicht, die nun durch die Versionen 2017.012.20098, 2017.011.30066 und 2015.006.30355 ersetzt wurden. Benutzer des Readers sollten sicherstellen, dass sie die neuen Updates bekommen und auch installiert haben, damit die kritische Lücke auch wirklich geschlossen ist. Wie dringend dies ist, zeigt die Tatsache, dass Adobe mit dem Update nicht einfach die zwei Wochen bis zum nächsten Patchday gewartet, sondern Patches „außer der Reihe“ bereitgestellt hat.

Mit dem neuen Update hat Adobe auch gleich Kompatibilitätsprobleme behoben, die bei Nutzung von XFA-Formularen im Reader aufgetreten sind. Dafür hatte das Unternehmen schon drei Hotfixes mit den Patchday-Updates zum Download angeboten. Diese Hotfixes werden mit dem neuen Update auch überflüssig.