Reader and Acrobat

Der Defekt sitzt in der U3D-Komponente (Universal 3D) von Adobe Reader und Acrobat, die für die Darstellung dreidimensionaler Inhalte innerhalb von PDF-Dokumenten zuständig ist. In dieser Komponente kommt es zu einer Speicherbeschädigung (Memory Corruption): Beim Verarbeiten entsprechend präparierter Inhalte gerät die interne Speicherverwaltung durcheinander, sodass ein Angreifer das Programmverhalten manipulieren kann. Ausnutzbar ist die Lücke aus der Ferne, typischerweise indem das Opfer ein speziell gestaltetes PDF-Dokument öffnet. Gelingt der Angriff, kann der Angreifer beliebigen Code auf dem System ausführen und damit die Kontrolle übernehmen oder zumindest einen Absturz beziehungsweise eine Dienstblockade (Denial of Service) auslösen. Betroffen sind die Adobe-Produkte Reader und Acrobat auf Windows und macOS sowie Adobe Reader unter UNIX. Die Schwachstelle wurde bereits aktiv für Angriffe missbraucht, was die Komponente zu einem realen Einfallstor macht.