Ende Juni hat Adobe mit seinem vierteljährlichen Patchday 18 Sicherheitsanfälligkeiten beseitigt. Wie der Sicherheitsdienstleister BKIS nun mitteilt, ist einer dieser Patches allerdings unvollständig und beseitigt den Software-Fehler nur teilweise. Und zwar handelt es sich um das Update für die /launch-Schwachstelle.
Das Leck wird laut BKIS durch den Patch zwar geschlossen, durch minimales Anpassen der in die PDF-Dokumente eingebetteten Befehle jedoch sehr schnell wieder geöffnet. BKIS hat dazu die .exe-Datei, die ausgeführt werden soll, ganz einfach in Anführungszeichen gesetzt und konnte so die neu eingeführte Blacklist-Funktion umgehen und das Programm starten.
Adobe hat unterdessen zugegeben, dass der Patch noch nicht perfekt ist und weitere Lösungsschritte veröffentlicht. Der Patch alleine verringere das Angriffsrisiko aber bereits erheblich, meint Adobe: Der User werde vor dem Ausführen der Datei gewarnt und müsse ausdrücklich bestätigen, dass er sie trotzdem ausführen möchte.
