Thema: Patchday bei Adobe

[SiLæncer]

Der Hersteller Adobe hat neue Versionen von Reader und Acrobat veröffentlicht, um mehrere kritische Sicherheitslücken zu schließen. Betroffen sind jeweils die Versionen 10.x, 9.x und 8.x für Windows, Linux und Mac. Adobe empfiehlt die Updates 10.1.1 für Reader X und Acrobat X zu installieren; diese Version bietet durch ihre Sandbox unter Windows zusätzlichen Schutz. Daneben stehen aber auch Adobe Reader 9.4.6 und 8.3.1 sowie Adobe Acrobat 9.4.6 und 8.3.1 zum Download bereit. Adobe Reader 9.4.6 for UNIX soll allerdings erst am 7. November erscheinen.

In der Version 10.x hat Adobe wie angekündigt die Adobe Approved Trust List (AATL) aktualisiert, um sämtliche DigiNotar-Zertifikate zu entfernen. Die Versionen 9.x unterstützen bislang noch keine dynamischen Updates für die AATL, dies soll erst in späteren Versionen folgen. Bis dahin sollen Anwender die Zertifikate manuell löschen. Eine Anleitung dazu hat der Hersteller auf seinen Seiten veröffentlicht.

Beim letzten Update für ein Adobe-Produkt gab es Kritik von Sicherheitsspezialisten, der Hersteller wolle über die wahre Zahl der geschlossenen Lücken hinwegtäuschen. So hatte Adobe für ein Update des Flash Player nur 13 Lücken angegeben. Der für Google tätige Sicherheitsspezialist Tavis Ormandy wies jedoch darauf hin, dass es mehr als 400 waren.

Quelle : www.heise.de

[SiLæncer]

Adobe hat einen Notfall-Patch angekündigt, der vermutlich im Laufe des heutigen Abends erscheinen wird. Er soll mehrere kritische, bislang unbekannte Lücken im Flash-Player schließen. Daneben soll das Update eine universelle Cross-Site-Scripting-Lücke beseitigen, die laut Hersteller bereits aktiv ausgenutzt wird. Nähere Angaben macht Adobe in seinem Sicherheits-Blog nicht.

Google hat bereits die aktualisierten Fassungen seines Browser Chrome 14.0.835.186 für Windows, Mac, Linux und Chrome Frame veröffentlicht. Sie enthalten eine korrigierte Version des Flash -Player.

Quelle : www.heise.de

[SiLæncer]

Adobe hat wie angekündigt einen Notfall-Patch (Version 10.3.183.10) für den Flash-Player veröffentlicht, der einige kritische Lücken schließt. Der Hersteller muss außerplanmäßig reagieren, da eine der Schwachstellen bereits aktiv für Angriffe ausgenutzt wird: Durch die Cross-Site-Scripting-Lücke können Angreifer die Same-Origin-Policy umgehen und so etwa auf das Webmailkonto des Opfers zugreifen oder seine Cookies stehlen. Hierzu muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.

Zu den übrigen fünf Lücken macht Adobe lediglich spärliche Angaben. Durch vier der Lücken kann ein Angreifer aus der Ferne Schadcode ins System schleusen, unter anderem durch zwei Stack-Overflow-Fehler. Durch die sechste Lücke gelangt der Angreifer an Informationen, auf die er keinen Zugriff haben dürfte (Information Disclosure).

Flash ist bis Version 10.3.183.7 unter allen Desktop-Betriebssystemen verwundbar. Unter Android sind alle Versionen einschließlich 10.3.186.6 angreifbar, die fehlerbereinigte Version trägt die Versionsnummer 10.3.186.7. Den in Chrome integrierten Flash-Player hat Google bereits vor zwei Tagen mit dem Update auf Chrome 14.0.835.186 auf den aktuellen Stand gebracht. Die derzeit installierte Version des Flash-Player kann man bei Adobe in Erfahrung bringen.

Die Flash-Bibliothek authplay.dll von Adobe Reader und Acrobat ist zumindest von der Cross-Site-Scripting-Lücke nicht betroffen. Ob sie für die anderen Schwachstellen anfällig ist, gab Adobe nicht bekannt.

Quelle : www.heise.de

[SiLæncer]

Ein Informatikstudent hat eine neue Methode zur Webcam-Spionage über den Flash Player gefunden. Adobe will die von Feross Aboukhadijeh entdeckte Sicherheitslücke noch in dieser Woche schließen.

Feross Aboukhadijeh hat herausgefunden, dass der Adobe Flash Player weiterhin mittels Clickjacking dazu gebracht werden kann, die Webcam eines angegriffenen Computers einzuschalten. In seinem Blog verlinkt er eine selbst entwickelte Demonstrationswebsite, die in einem iFrame die Settings-SWF-Datei unsichtbar einblendet und den Besucher durch Clickjacking dazu bringt, die Kamera und das Mikrofon in den Flash-Einstellungen einzuschalten.

Video: Webseitenbesucher mit Webcam ausspionieren (5:03)

Allerdings verspricht der Student, den an der Sicherheitslücke interessierten Besuchern nur ihr eigenes Kamerabild zu zeigen und nichts aufzuzeichnen. Die Demo funktioniert bisher nur in Firefox und Safari auf dem Mac korrekt. Die meisten anderen Browser, darunter solche, die unter Windows und Linux laufen, sollen die Transparenz oder den Z-Index einer SWF-Datei in einem iFrame nicht verändern können. Das könnte an einem CSS-Fehler in Verbindung mit Transparenz liegen.

Die Methode ist laut Aboukhadijeh nicht neu. Adobe hatte bereits zuvor mit Framebusting-Code verhindert, dass die ganze Einstellungsseite unsichtbar in einem iFrame eingeblendet wird. Beispielsweise durch ein eigens erstelltes Flash-Spiel konnte der Nutzer vorher dazu gebracht werden, genau an die zum Einschalten der Webcam und des Mikrofons richtigen Stellen zu klicken.

Dass es aber noch möglich war, die SWF-Datei für die Einstellungen in einen iFrame zu laden und diese damit zu modifizieren, hat den Studenten laut eigenen Angaben überrascht. Aboukhadijeh informierte Adobe bereits, da das Unternehmen aber nicht reagierte, stellte er gestern seinen Blogeintrag zu der Sicherheitslücke online.

Adobe erklärte daraufhin CNet.com, dass das Problem bis Ende dieser Woche behoben sei und konkretisiert dann gegenüber Aboukhadijeh, dass das Flash-Team dazu an einer Lösung arbeite, die kein Flash-Player-Update erfordere.

Quelle : www.golem.de

[SiLæncer]

Adobe hat eine Clickjacking-Lücke in Adobe Flash geschlossen, durch die Angreifer ihre Opfer unbemerkt mittels Kamera und Mikrofon ausspionieren konnten. Entdeckt hat die Lücke der Stanford-Student Feross Aboukhadijeh, der die Details zu seinem Fund am vergangenen Dienstag in seinem Blog veröffentlicht hat.

Standardmäßig sind Kamera und Mikrofon deaktiviert und lassen sich normalerweise nur vom Anwender aktivieren. Damit der Anwender Webcam und Mikro aktiviert, präsentiert der Angreifer auf einer präparierten Webseite ein einfaches Klick-Spiel, das den Besucher dazu auffordert, mit der Maus auf eine Reihe von Buttons zu klicken. Im Hintergrund leitet die Webseite auf das Einstellungsmenü von Adobe Flash um, das in ein unsichtbares iFrame geladen wurde. Dadurch räumt der Besucher der Webseite nach und nach das Recht ein, die Video- und Audioeingabegeräte anzuzapfen.

Dieses Angriffsszenario wurde bereits im Jahr 2008 erstmals präsentiert. Adobe hat das Problem damals durch die Anpassung der Einstellungsseite behoben; ein paar Zeilen JavaScript verhindern seitdem, dass die Seite in ein iFrame geladen wird (Framebusting). Ein Detail hat der Hersteller dabei aber übersehen: Flash-Dateien (.swf) kann man auch direkt als iFrame einbetten – die ursprüngliche Webseite wird dabei nicht geladen, der Framebusting-Code kommt nicht zum Tragen.

Adobe hat das Problem nun durch ein Update der beim Hersteller gehosteten Flash-Datei behoben. Eine Aktualisierung des Flash-Players ist nicht nötig.

Quelle : www.heise.de

[SiLæncer]

Adobe hat seinen Shockwave-Player auf Version 11.6.3.633 aktualisiert und schließt damit zahlreiche kritische Sicherheitslücken, durch die Angreifer Schadcode ins System einschleusen können. Zwei der Lücken befinden sich in der Director-Bibliothek DIRapi, weitere im TextXtra-Modul. Bei allen Lücken handelt es sich um Speicherfehler. Die Lücken wurden Adobe vertraulich von Sicherheitsforschern gemeldet. Die Details hält der Hersteller derzeit unter Verschluss.

Da der sich der Shockwave-Player als Addon in viele Browser einbindet, genügt bereits der Besuch einer speziell präparierten Webseite, um den Rechner zu infizieren. Verwundbar sind Version 11.6.1.629 und älter für Windows und Mac OS X. Welche Version des Shockwave-Plugins der Browser aktuell nutzt, erfährt man auf einer Testseite von Adobe.

Quelle : www.heise.de

[SiLæncer]

Adobe hat nicht weniger als zwölf kritische Lücken in allen Versionen des Flash-Players bis einschließlich 11.0.1.152 geschlossen. Durch die Speicherfehler können Angreifer Schadcode auf den Rechner einschleusen. Der Besuch einer speziell präparierten Seite genügt. Surft man mit dem Internet Explorer, kann ein Angreifer durch eine weitere Lücke zudem die Cross-Domain-Policy umgehen.

Wer sein System absichern will, sollte umgehend auf die aktuelle Flash-Version 11.1.102.55 umsteigen. Welche Flash-Version der Browser derzeit nutzt, erfährt man auf einer Testseite. Auch der Flash-Player für Android ist wieder betroffen, hier ist die letzte anfällige Versionsnummer 11.0.1.153. Das Update auf Version 11.1.102.59 kann man über den Android Market installieren.

Ebenfalls verwundbar ist AIR die Anwendungsplattform AIR in Version 3.0 (einschließlich Android). Eine fehlerbereinigte Version Version 3.1.0.4880 steht zum Download bereit.

Chrome-Nutzer erhalten die neue Flash-Version seit Donnerstag über das automatisch verteilte Update auf Version 15.0.874.120. Google hat in seinem Browser mit diesem Update weitere Fehler geschlossen, darunter auch Lücken der Gefahrenklasse "hoch".

Quelle : www.heise.de

[SiLæncer]

Die von Adobe als kritisch eingeschätzten Sicherheitslücken in bestimmten Acrobat- und Acrobat-Reader-Versionen sind laut Hersteller durch ein am 16. Dezember zur Verfügung gestelltes Update behoben. Es ging dabei darum, dass durch einen Absturz bei der Verarbeitung mancher Grafikformate ein Angreifer die Kontrolle über das System erlangen konnte.

Betroffen waren Adobe Reader X 10.1.1 und jünger für Windows und Mac OS X, 9.4.x für Windows, Mac OS X und Unix, Adobe Acrobat X 10.x für Windows und Mac OS X und Adobe Acrobat 9.4.x für Windows und Mac OS X.

Das von Adobe empfohlene Update aktualisiert die 9er-Versionen für Windows von Acrobat und Acrobat Reader auf 9.4.7. Fixes für Adobe X gibt es erst im Rahmen des regulären vierteljährlichen Updatezyklus am 10. Januar 2012, da der Hersteller hier wegen des Sandbox-Modus keine Gefahr durch Exploits sieht. Auch für die 9.x-Versionen für Unix- und Mac OS X offeriert Adobe das Update erst dann.

Quelle : www.heise.de

[spoke1]

Adobe hat einen Patch für die PDF-Anwendungen Adobe Reader und Acrobat veröffentlicht, um insgesamt sechs gefährliche Sicherheitslücken zu beseitigen. Zudem bringt das Update eine Whitelist-Funktion für Javascript.
Sechs Sicherheitslücken im Adobe Reader und in Acrobat können von Angreifern zur Ausführung von Schadcode missbraucht werden. Opfer müssen lediglich dazu verleitet werden, eine entsprechend präparierte PDF-Datei mit den Adobe-Produkten zu öffnen. Vor über einem Monat wurde bekannt, dass eine der sechs Sicherheitslücken aktiv ausgenutzt wird. Entsprechende Attacken hat Adobe nur für die Windows-Versionen von Adobe Reader und Acrobat bemerkt. Zehn Tage später veröffentlichte Adobe dann für die Windows-Versionen des Adobe Reader 9.x und von Acrobat 9.x ein Update, das nun auch Bestandteil des aktuellen Patches ist.

Die sechs Sicherheitslücken betreffen den Adobe Reader 9.x, Acrobat 9.x, den Adobe Reader 10.x sowie Acrobat 10.x für die Windows- und Mac-OS-Plattformen. Der Sandbox-Modus im Adobe Reader 10.x und in Acrobat 10.x soll eine Ausnutzung der Sicherheitslücken verhindern. Nach Angaben des Herstellers sind die Linux-Versionen der PDF-Anwendungen von den Sicherheitslücken nicht betroffen. Das Update für den Adobe Reader und für Acrobat beseitigt außerdem zwölf Sicherheitslücken in den Flash-Player-Komponenten der Anwendungen. Im November 2011 hatte Adobe ein Sicherheitspatch für den Flash Player veröffentlicht.

Whitelist-Funktion für Javascript

Mit dem aktuellen Update haben der Adobe Reader und Acrobat eine Whitelist-Funktion für Javascript erhalten. In den beiden Adobe-Anwendungen ist es möglich, die Ausführung von Javascript generell zu unterbinden. Mit der Whitelist-Funktion kann Javascript in ausgewählten PDF-Dateien aktiviert werden. Wenn die PDF-Datei als vertrauenswürdig eingestuft ist, stehen auch die Javascript-Funktionen in Adobe Reader und Acrobat zur Verfügung.

Die Updates für den Adobe Reader und für Acrobat können über die Updatefunktion der Software oder über das von Adobe veröffentlichte Security Bulletin heruntergeladen werden.

Quelle: http://www.golem.de/1201/88971.html

[SiLæncer]

Adobe hat Updates für den Flash Player veröffentlicht, die sieben Lücken schließen. Sechs davon können Angreifer zum Infizieren eines PCs über präparierte Webseiten missbrauchen. Bei der siebten handelt es sich um eine Cross-Site-Scripting-Lücke, die laut Hersteller bereits aktiv ausgenutzt wird.

Betroffen sind die Version 11.1.102.55 und frühere Versionen für Windows, Mac, Linux und Solaris sowie 11.1.112.61 und frühere für Android 4.x. Daneben enthält der Flash Player 11.1.111.5 für Android 3.x und 2.x die Schwachstellen ebenfalls. In Version 11.1.102.62 für die Desktop-Versionen und 11.1.115.6 und 11.1.111.6 für Android sind die Fehler beseitigt. Ob der Adobe Reader durch seine integrierte Flash-Player-Engine ebenfalls verwundbar ist, schreibt Adobe nicht.

Google hat Chrome in Version 17.0.963.56 für Windows, Mac und Linux bereitgestellt, in der ebenfalls ein korrigierter Flash Player enthalten ist. Zusätzlich schließt dieses Update 13 weitere Lücken, von denen der Hersteller im Rahmen des Bug-Bounty-Programms acht mit Prämien honoriert hat.

Quelle : www.heise.de

[ritschibie]

Sicherheitsupdate für
Flash Player
(Bild: Adobe)

Adobe hat für den Flash Player ein Update veröffentlicht, mit dem zwei Sicherheitslücken geschlossen werden sollen. Eine kann zur Ausführung von Schadcode verwendet werden und wird als gefährlich eingestuft.

Im Flash Player für alle Plattformen befinden sich zwei Sicherheitslücken. Eine davon kann von Angreifern zur Ausführung von Schadcode missbraucht werden und wird daher von Adobe als gefährlich eingestuft. Ein Unbefugter könne darüber vollen Zugriff auf ein fremdes System erlangen, heißt es von Adobe. Das andere Sicherheitsloch könne zum Ausspähen vertraulicher Daten verwendet werden.

Es liegen derzeit keine Informationen dazu vor, ob die Sicherheitslecks im Flash Player aktiv ausgenutzt werden. Auch machte Adobe keine Angaben dazu, weshalb das Sicherheitsupdate außer der Reihe veröffentlicht wurde. Der nächste reguläre Patchday von Adobe ist am 10. April 2012. Beide Sicherheitslücken wurden von Google-Mitarbeitern bemerkt und an Adobe gemeldet.

Die beiden Sicherheitslücken betreffen alle aktuellen Versionen des Flash Player für Windows, Mac OS, Linux und Android. Eine aktualisierte Version des Flash Player für Android 2.x sowie 3.x und eine neue Version für Android 4.x steht nach Angaben von Adobe in Googles Android Marketplace zum Herunterladen bereit. Für Android 2.x und 3.x lautet die aktuelle Versionsnummer 11.1.111.7 und für für Android 4.x steht die Version 11.1.115.7 zur Verfügung.

Windows-, Mac-OS- und Linux-Nutzer können sich den aktuellen Flash Player mit der Version 11.1.102.63 über Adobes Webseite herunterladen. Alternativ hat Adobe den Flash Player 10.3.183.16 veröffentlicht, falls kein Update auf Flash Player 11 möglich ist. Nutzer von Googles Chrome-Browser sollten die aktuelle Version installieren, um das Sicherheitsloch im Flash-Player-Plugin zu beseitigen.

Quelle: www.golem.de

[SiLæncer]

Der Adobe SWF Investigator ermöglicht einen Blick unter die Haube von Flash-Dateien. Dabei spielt es keine Rolle, ob man etwa als Sicherheitsexperte einen Flash-Exploit untersuchen oder als Entwickler das eigene Projekt debuggen möchte. Mit Hilfe der Tool-Sammlung kann man SWF-Dateien etwa dekompilieren, um anschließend den ActionScript-Quellcode zu durchstöbern.

Zudem ist ein XSS Fuzzer enthalten, mit dem man die Dateien auf Cross-Site-Scripting-Lücken (XSS) hin untersuchen kann. Auch ein HEX-Editor zur Modifizierung der Dateien ist an Bord. Der SWF Investigator wurde von Peleus Uhley aus Adobes Sicherheitsteam entwickelt und läuft unter Windows und Mac OS X. Der Quellcode des in Adobe Air realisierten Tools steht ebenfalls zum Download bereit.

Quelle : www.heise.de

[ritschibie]

Parallel zu Microsoft hat auch Adobe am gestrigen Dienstag seinen April-Patchday abgehalten. Das Unternehmen schließt vier kritische Lücken in seinem Reader sowie dem PDF-Editor Acrobat, die sich potenziell zum Einschleusen von Schadcode eignen. Bei den Lücken handelt es sich unter anderem um einen Integer Overflow, der bei der Verarbeitung von TrueType-Schriftarten auftritt. Zwei kritische Speicherfehler finden sich in der JavaScript-Engine.

Verwundbar ist der Reader X in Version 10.1.2 (und älter) für Windows und Mac OS X sowie Reader und Acrobat in Version 9.4.6 (und älter) für Linux. Abhilfe schafft ein Update auf die Versionen 10.1.3 respektive 9.5.1. Letztere bietet Adobe auch Windows- und Mac-Anwendern, die nicht auf den Versionszweig 10.x upgraden können oder wollen.

Bei Acrobat sind Versionsnummern identisch – mit der Ausnahme, dass es das Produkt nicht für Linux gibt. Zudem hat Adobe noch den in Reader und Acrobat integrierten Flash-Player auf den neuesten Stand gebracht. Die Links zu den Updates findet man im Advisory.

Quelle: www.heise.de

[SiLæncer]

Mit dem am Freitag veröffentlichten Flash-Update schließt Adobe eine kritische Schwachstelle, die bereits aktiv für gezielte Angriffe ausgenutzt wird. Durch die Lücke kann ein Angreifer unter Umständen die Kontrolle über einen fremden Rechner übernehmen. Bei den von Adobe beobachteten Angriffen wurden Mails verschickt, welche die Empfänger dazu animiert haben, die angehängte Datei auszuführen. Der eingesetzte Zero-Day-Exploit greift den Internet Explorer unter Windows an.

Die aktualisierten Flash-Ausgaben für Windows, Mac OS X und Linux haben die Versionsnummer 11.2.202.23, für Android sind die Versionen 11.1.111.8 (2.x und 3.x) und 11.1.115 (Android 4.x) aktuell. Welche Version aktuell installiert ist, erfährt man auf einer Testseite. Wer unter einem Desktop-Betriebssystem noch an Flash 10 hängt, kann die ebenfalls gepatchte Version 10.3.183.19 installieren.

Quelle : www.heise.de

[SiLæncer]

Wer seine Photoshop-, Illustrator- oder Flash-Pro-Installation gegen kritische Sicherheitslücken abdichten will, muss jetzt tief in die Tasche greifen. 273 Euro kostet allein das Update auf Photoshop 6 CS6, dessen Installation Adobe empfiehlt, weil es mehrere kritische Sicherheitslücken schließt. Die anderen Upgrades gibt es ebenfalls nur für zahlende Kunden. Kostenlos verteilt Adobe zum heutigen Patchday lediglich ein Shockwave-Update.

Wer die kostenpflichtigen Upgrades nicht kaufen mag – etwa weil er die neuen Photoshop-Funktionen nicht benötigt – ist auf sich selbst gestellt. Adobe empfiehlt lediglich ganz allgemein, gute Sicherheitsvorkehrungen zu treffen und vorsichtig beim Öffnen von Dateien zu sein – verkneift es sich aber, seinen Kunden dabei "viel Glück" zu wünschen. Denn die Lücken haben es durchaus in sich.

Adobe Photoshop etwa enthält eine Lücke in den TIFF-Funktionen, für die es bereits einen öffentlichen Demo-Exploit gibt und eine nicht weiter spezifizierte Sicherheitslücke, die ebenfalls zur unbemerkten Infektion eines Systems allein durch das Öffnen einer präparierter Datei führen kann. Bei Illustrator listet Adobe gleich 5 Sicherheitslücken auf; bei Flash Professional eine. In allen Fällen sind jeweils die Versionen CS5.5 für Windows und Mac anfällig.

Kostenlos bekommt man das ebenfalls heute veröffentlichte Update auf Shockwave Player 11.6.5.635, das 5 Sicherheitslücken in der Vorgängerversion beseitigt. Für das herkömmliche Flash hat Adobe wegen akuter Angriffe bereits am letzten Freitag eine neue Version ausgerollt.

Quelle : www.heise.de