Adobe waarschuwt voor kritiek lek in PDF

Het probleem schuilt in Adobe Reader 9.3.4 en oudere versies voor Windows, Macintosh en Unix, meldt Adobe in een adviesbulletin. Hetzelfde geldt voor Adobe Acrobat 9.3.4 en eerdere versies voor Windows en de Mac. Reader is een applicatie voor het bekijken van PDF-documenten terwijl Acrobat bedoeld is om dergelijke bestanden aan te maken.

Adobe kenschetst het probleem als ‘kritiek’. De Deense securityfirma Secunia noemt het lek zelfs ‘extreem kritiek’ terwijl Symantec er het rapportcijfer 8,5 op een schaal van 1 tot 10 aan geeft.

In het bulletin kondigt Adobe aan voor beide programma’s een update te ontwikkelen die afrekent met het beveiligingslek. Het bedrijf zegt er niet bij wanneer de patch naar verwachting klaar is. Evenmin legt Adobe uit hoe gebruikers hun pc tijdelijk kunnen beschermen tegen 'zero-day'-aanvallen in afwachting van de update.

Een onafhankelijke onderzoeker, Mila Parkour, attendeerde Adobe afgelopen dinsdag op het bestaan van aanvalscode die de kwetsbaarheid in PDF exploiteert. Zij publiceerde op haar blog een voorbeeld van een mailtje met een kwaadaardige PDF-bijlage. Parkour heeft de bijlage op het blog overigens beveiligd met een wachtwoord en stuurt hem alleen op verzoek toe.

De mail moedigt de ontvanger aan de bijlage te openen. Die zou tips bevatten om betere resultaten op de golfbaan te bereiken. Adobe bedankt Parkour in het bulletin “voor haar werk aan dit probleem met Adobe om onze klanten te beschermen”.