Update Adobe Reader laat 16 kritieke gaten open

Een securityteam van Google heeft 16 nieuwe gaten gevonden in de pas geüpdate Adobe Reader. Vooral Linux-gebruikers zijn volgens het team erg kwetsbaar.

Google waarschuwt gebruikers van Adobe Reader, dat deze week nog een volledige update kreeg voor zowel Windows als Mac OS X, dat de patches ontoereikend zijn om gevaar voor exploits af te weren. Volgens onderzoekers van Google kent de PDF-reader van Adobe nog 16 kritieke gaten op alle besturingssystemen, en in het bijzonder op Linux.

Geen plannen voor nieuwe update
Adobe heeft dinsdag zijn update uitgebracht voor alle 9.x en de meest recente X-versies van Adobe Reader. Net als Acrobat X bevatte de PDF-software kritieke lekken die moesten worden gedicht. In sommige gevallen werd daarbij zelfs de hoogste prioriteit gegeven. Maar volgens Google-onderzoekers Mateusz Jurczyk and Gynvael Coldwind heeft Adobe 16 gaten opengelaten.

De twee hebben Adobe inmiddels op de hoogte gebracht en zestig dagen de tijd gegeven voor een patch, alvorens zij de bugs aan licht brengen. Adobe heeft dit voor kennisgeving aangenomen en laten weten dat het voor deze datum (27 augustus) nog geen plannen heeft voor een nieuwe update. De Google-onderzoekers besloten daarop de kritieke gaten zonder verdere uitstel aan het licht te brengen.

Linux-gebruikers erg kwetsbaar
Zij waarschuwen daarbij vooral Linux-gebruikers. Die werden zoals gezegd bij de update van dinsdag overgeslagen. Op Windows zijn er 6 gaten overgebleven, op Mac OS X zelfs 10. Aangezien deze kwetsbaarheden allemaal in publiek toegankelijk PDF-documenten zijn gevonden, concluderen de Google-onderzoekers dat er mogelijk al misbruik van wordt gemaakt.

Hun advies is daarom om geen PDF-documenten meer te openen vanaf externe bronnen in Adobe Reader. Diegene die een andere browser dan Chrome gebruiken kunnen zichzelf beschermen door de browser extension van Reader uit te schakelen. De extension maakt het voor aanvallers mogelijk om simpelweg via een webpagina binnen te dringen.