Het nog altijd openstaande zero-day beveiligingslek in Adobe Reader wordt door een functie veroorzaakt waarvan bekend is dat het vol fouten zit, en het is niet de enige 'giftige' functie in de PDF-lezer. "Het verifiëren dat je code 'veilig' is, is in principe een onmogelijke taak. Verifiëren dat je code geen uitgebannen functies bevat is eenvoudig. We noemen dit het laaghangende fruit", zegt Marisa Fagan van Errata Security.

Eén van deze foute functies is 'strcat', die data van het ene geheugengebied naar het andere kopieert. Het controleert echter niet of het geheugen waar het de data naar toe kopieert groot genoeg is. Hackers kunnen hier eenvoudig misbruik van maken om systemen over te nemen. "Met 48.000 hits op Google voor strcat-lekken, waarvan sommige meer dan tien jaar oud zijn, is dit een bekend beveiligingsprobleem."

Gevaar
Het recente zero-day lek in Adobe Reader bevat precies deze functie. Daarbij is het niet nodig voor aanvallers om JavaScript toe te passen, aangezien de aanval ook zonder werkt. "Waarom verhelpt Adobe het laaghangende fruit niet? Waarom blijft het deze giftige functies gebruiken?", vraagt Fagan zich af. Ze merkt op dat hardwarefabrikanten allerlei giftige stoffen uit hun apparaten moeten halen, maar dat softwareleveranciers gevaarlijke functies van oude code gewoon laten zitten.

Via deze gratis tool controleerde Fagan de aanwezigheid van andere 'giftige functies' in Adobe Reader en ontdekte nog veel meer problemen. "Het gevaar van Adobe's software is nog altijd vrij groot."