Een beveiligingsonderzoeker waarschuwt voor een actief aangevallen kwetsbaarheid in Adobe Reader waarvoor nog geen update beschikbaar is. Via het beveiligingslek, waar al vier maanden misbruik van zou worden gemaakt, kan allerlei informatie van systemen worden verzameld. Vervolgens wordt er op bepaalde doelwitten een verdere aanval uitgevoerd, aldus onderzoeker Haifei Li.

Via de kwetsbaarheid, waarvoor nog geen CVE-nummer beschikbaar is, kan een aanvaller informatie over het besturingssysteem verzamelen, gebruikte Adobe Reader-versie en lokaal path van het pdf-bestand. De informatie wordt vervolgens naar een server van de aanvaller gestuurd. Ook is het via de kwetsbaarheid mogelijk om lokale bestanden te lezen. In een blogposting over de kwetsbaarheid meldt Li dat de exploit aanvallers niet alleen in staat stelt om lokale informatie te stelen, maar ook verdere aanvallen uit te voeren waarmee remote code execution of sandbox escapes mogelijk zijn, wat kan leiden tot volledige controle over het systeem van het slachtoffer.

Op basis van informatie die andere onderzoekers over de aanval vonden stelt Li op X dat bij het misbruik niet alleen lokale informatie is verzameld, maar ook echt aanvullende exploits zijn uitgevoerd. Wat deze exploits precies doen kon niet worden achterhaald. Uit informatie die naar Googles online virusscanner VirusTotal werd geupload blijkt dat misbruik al sinds 28 november vorig jaar zou plaatsvinden. Adobe is nog niet met een reactie op de kwetsbaarheid gekomen. De door Li beschreven exploit maakt gebruik van JavaScript. Het is mogelijk om in Adobe Acrobat JavaScript uit te schakelen.