Lek in PDF-software pas in januari gedicht

In het blog van zijn Product Security Incident Response Team (PSIRT) maakte Adobe maandagmiddag voor het eerst melding van het probleem. Dinsdag bevestigde het bedrijf in een Security Bulletin dat Adobe Reader en Acrobat 9.2 en eerdere versies een ‘kritieke kwetsbaarheid’ bevatten. Dit lek kan een systeemcrash tot gevolg hebben en stelt hackers potentieel in staat pc’s in hun greep te krijgen. In het bulletin verwijst Adobe naar berichten dat de zwakke plek al “in het wild” actief wordt uitgebuit.

Volgens het vakblad Computerworld heeft een bekende onderzoeker van softwarefouten, H.D. Moore, aangekondigd dat binnen enkele dagen een zogeheten exploit wordt gepubliceerd die het lek in Adobe Reader uitbuit. Dat zal gebeuren op Metasploit, een open-sourcenetwerk voor penetratietests. Op die manier kunnen ook kwaadwillenden aanvalscode in handen krijgen.

Gebruikers van versies 9.2 of 8.1.7 van Reader en Acrobat kunnen het JavaScript Blacklist Framework gebruiken om de kwetsbaarheid te verhinderen, aldus Adobe. Wie daartoe niet in staat is, doet er goed aan JavaScript uit te schakelen. Dat laatste advies geeft ook Shadowserver, een groep vrijwilligers die bijhoudt welke zwakke plekken in software zitten. Adobe laat in zijn bulletin in het midden of het nog voor zijn reguliere patchronde van medio januari met een tussentijdse patch komt.

De gebruiker kan JavaScript in Adobe Reader deactiveren door in het Bewerken-menu op Voorkeuren te klikken, daarna in de lijst van Categoriën ‘Javascript’ te selecteren’ en daarna het vinkje weg te halen bij ‘Acrobat JavaScript inschakelen’.

De huidige versies van Adobe en Adobe Reader dateren van medio oktober. Indertijd publiceerde Adobe een kleine 30 beveiligingslekken in beide producten.