Thema: Patchday bei Adobe

[SiLæncer]

Adobe schließt mit der Shockwave-Version 11.6.8.638 für Windows und Mac OS X zahlreiche kritische Lücken, durch die ein Angreifer potenziell Schadcode ins System schleusen kann. Insgesamt sind den Schwachstellen sechs CVE-Nummern zugeordnet. Es handelt sich vor allem um Pufferüberläufe.

Adobe hat dem Update die Prioritätsstufe zwei verpasst. Das beutet, dass Shockwave zwar ein häufiges Angriffsziel ist, derzeit aber noch keine Exploits für die Lücken bekannt sind. Das Unternehmen empfiehlt, das Update "bald" einzuspielen.

Quelle : www.heise.de

[SiLæncer]

Adobe hat neue Versionen seines Flash-Players für sämtliche Plattformen herausgegeben und schließt damit zahlreichen kritische Sicherheitslücken. Den Schwachstellen sind insgesamt sieben CVE-Nummern zugeordnet. Es handelt sich dabei vor allem um Pufferüberläufe, durch die ein Angreifer Schadcode ins System schleusen kann. Entdeckt wurden die Lücken von Googles Sicherheitsteam.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Sicherheitsupdate für
Flash Player
(Bild: Adobe)

Adobe hat einen Sicherheitspatch für den Flash Player veröffentlicht, der mehrere als gefährlich eingestufte Sicherheitslücken beseitigt. Die Sicherheitslecks können alle zur Ausführung von Schadcode missbraucht werden. Auch für AIR gibt es einen Sicherheitspatch.

Drei Sicherheitslücken stecken im Flash Player für alle Plattformen. Die Sicherheitslöcher können Angreifer dazu missbrauchen, beliebigen Schadcode auszuführen und so ein fremdes System unter ihre Kontrolle zu bringen. Adobe stuft die Sicherheitslecks als gefährlich ein. Zwei der drei Fehler wurden von Google-Entwicklern entdeckt und an Adobe gemeldet. Es liegen derzeit keine Informationen dazu vor, ob sie im Flash Player aktiv ausgenutzt werden.

Die Sicherheitslücken betreffen alle aktuellen Versionen des Flash Players für Windows, Mac OS, Linux und Android. Windows-Nutzer können sich den aktuellen Flash Player mit der Version 11.5.502.135 über Adobes Webseite herunterladen. Für Mac-OS-Nutzer wurde die Version 11.5.502.136 veröffentlicht, auf Linux-Versionen lautet die aktuelle Versionsnummer 11.2.202.258.

Nutzer von Googles Chrome-Browser erhalten laut Adobe eine aktualisierte Version, mit der die Sicherheitslücken im Flash-Player-Plugin beseitigt werden. Innerhalb von Chrome lautet die aktuelle Flash-Version 11.5.31.5. Auch Nutzer des Internet Explorer 10 für Windows 8 erhalten nach Angabe von Adobe eine neue Flash-Version über ein Browserupdate. In diesem Fall lautet die Flash-Version nach dem Update 11.3.377.15.
Flash-Update für Android wird über den Play Store verteilt

Ein Update des Flash Players für Android 2.x sowie 3.x und Android 4.x wird automatisch über Googles Play Store verteilt. Dazu muss der Flash Player bereits auf dem Android-Gerät installiert sein, denn seit Mitte August 2012 gibt es den Flash Player nicht mehr im Play Store. Für Android 2.x und 3.x lautet die aktuelle Versionsnummer 11.1.111.29 und für Android 4.x gibt es die Version 11.1.115.34.

Sicherheitslecks stecken auch in AIR

Auch für AIR von Adobe steht ein Update bereit, um die oben genannten Sicherheitslecks zu beseitigen. Windows-Anwender sollten AIR 3.5.0.880 installieren und für Mac-OS-Systeme wurde AIR 3.5.0.890 veröffentlicht. Für Android-Geräte steht AIR in der Version 3.5.0.880 in Googles Play Store als Download zur Verfügung.

Quelle: www.golem.de

[ritschibie]

Adobe dichtet mit einem Hotfix mehrere kritische Lücken in seinem ColdFusion-Server ab, die bereits aktiv für Hackerangriffe missbraucht werden. Durch eine der Schwachstellen können Angreifer aus der Ferne die Authentifizierung umgehen und potenziell die Kontrolle über den Server übernehmen.

Durch eine weitere Schwachstelle können Angreifer auf geschützte Verzeichnisse zugreifen. Die Dritte ermöglicht bei einem bereits kompromittierten Server den Zugriff auf sicherheitskritische Informationen. Hiervon ist Version 10 nicht betroffen.

Quelle: www.heise.de

[SiLæncer]

Die vor wenigen Tagen bekanntgewordene Lücke im Adobe Reader und in Acrobat will der Hersteller mit Patches beheben, die in der nächsten Woche bereitstehen soll. Das geht aus einem Blog-Beitrag vom gestrigen Samstag hervor.

Speziell präparierte PDF-Dokumente können die Schwachstelle ausnutzen, um Schadcode auf dem Rechner zu installieren. Betroffen sind nach bisherigen Erkenntnissen Acrobat XI, X und 9.5.3 für Windows und Mac OS X sowie der Reader 9.5.3 und früher unter Linux. Bis die Patches verfügbar sind, sollten Anwender einen alternativen PDF-Viewer benutzen oder andere Sofortmaßnahmen ergreifen.

Quelle : www.heise.de

[SiLæncer]

Nur eine Woche nach der Bestätigung mehrerer kritischer Lücken im Adobe Reader veröffentlicht der Hersteller neue Versionen. Betroffen waren die Reader- und Acrobat-Versionen 9, X und XI von Windows, Mac OS X und Linux. Die abgesicherten Programme tragen die Versionsnummern 9.5.4, 10.1.6 und 11.0.02.

Beseitigt werden laut Sicherheitsnotiz zwei Lücken, zu deren Natur Adobe jedoch keine Angaben macht. Da die Schwachstellen jedoch bereits aktiv ausgenutzt werden, um Systeme beim Öffnen spezieller PDF-Dateien mit Spionage-Software zu infizieren, rät der Herstelle zu einem zügigen Update. Dies geschieht zwar nach einer bestimmten Zeit automatisch, man kann den Vorgang aber unter "Hilfe" im jeweiligen Programm auch manuell anstoßen.

Quelle und Links : http://www.heise.de/newsticker/meldung/Adobes-Notfall-Patch-fuer-den-Reader-1807224.html

[ritschibie]

Die letzte Aktualisierung des Flash Players ist gerade einmal zwei Wochen her – jetzt ist es schon wieder soweit. Aufgrund zweier bereits aktiv ausgenutzten Sicherheitslücken hat Adobe für Mac OS und Windows die Revision 11.6.602.171 veröffentlicht.

Zwei der Lücken lassen sich ausnutzen, um beliebigen Code auszuführen – eine betrifft die ActionScript-Funktion ExternalInterface; die andere einen Pufferüberlauf. Die dritte Lücke kompromittiert die im Web-Browser Firefox implementierte Sandbox und wird Adobe zufolge bereits zur Unterwanderung von Systemen genutzt. Über Tricks führen Angreifer ihre Opfer auf Webseiten mit präparierten SWF-Dateien, bei deren Wiedergabe das Plug-in abstürzt. Die Lücken betreffen sowohl Linux als auch Mac OS und Windows, Android dieses Mal wohl nicht. Der Pufferüberlauf wurde Adobe von IBMs Sicherheitsabteilung X-Force gemeldet.

Die Exploits tragen die CVE-IDs CVE-2013-0504, CVE-2013-0643 und CVE-2013-0648. Aktuell zeigt die Datenbank der Common Vulnerabilities and Exposures für diese Codes noch Platzhalter.

Beim aktuellen Update handelt es sich schon um den dritten Flash-Patch im Februar. Anfang des Monats erschien für Mac OS und Windows der Flash Player 11.5.502.149; am 12. Februar folgte die Revision 11.6.602.168. Für Linux ist ab sofort die Revision 11.2.202.273 aktuell. Der Internet Explorer 10 bringt sich unter Windows 8 selbsttätig auf den neuesten Stand. Auch Google Chrome aktualisiert sich automatisch; hier lautet die aktuelle Versionsnummer 25.0.1364.97 m.

Wer den Flash-Player per Hand über die Adobe-Website aktualisiert, sollte darauf achten, vor dem Download die Option zum Herunterladen des Zusatzprogramms McAfee Security Scan Plus abzuwählen.

Quelle: www.heise.de

[SiLæncer]

Zwei Wochen nach der letzten Aktualisierung des Flash-Players ist der nächste Patchday gekommen. Waren zuletzt nur Mac OS und Windows betroffen, sind diesmal alle dran : Android 2/3/4, Linux, Mac OS und Windows sowie sämtliche AIR-Laufzeitbibliotheken und das Air-SDK. Die höchste Priorität gibt das Security Bulletin APSB13-09 dem Update der Windows-Version vom bisherigen Build 11.6.602.171 auf die neue Revision 11.6.602.180, gefolgt von der Version für Mac OS.

Drei der durch den Patch gestopften Lücken können zur Ausführung eigenen Codes führen: CVE-2013-0646 führt zu einem Ganzzahlüberlauf, CVE-2013-1371 verursacht einen Speicherfehler und CVE-2013-1375 einen Speicherüberlauf. Die vierte Lücke mit der ID CVE-2013-0650 lässt sich dazu missbrauchen, beliebigen Code auszuführen. Momentan zeigt die Datenbank der Common Vulnerabilities and Exposures (CVE) für diese IDs nur Platzhalter; Details dürften bald folgen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Adobe hat anlässlich seines Mai-Patchdays nicht nur etliche kritische Schwachstellen in Adobe Reader, Acrobat und Flash geschlossen, sondern auch einen wichtigen Hotfix für Coldfusion herausgegeben. Er dichtet ein Sicherheitsloch ab, durch das bereits reihenweise Server kompromittiert wurden.

Zunächst die Updates, die wohl fast alle betreffen: Im Flash Player und Air hat Adobe zahlreiche Sicherheitslücken ausgebessert, denen insgesamt 13 CVE-Nummern zugeordnet sind. Bei den Lücken handelt es sich um Speicherfehler, die sich zum Einschleusen von Schadcode eignen. Das Flash-Update für Windows hat die höchstmögliche Prioritätsstufe, Windows-Nutzer sollten also nicht lange zögern. Die aktuelle Versionsnummer lautet hier 11.7.700.202.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Adobe muss wie fast jeden Monat zahlreiche Lücken in seinen Flash-Playern schließen. Zudem beendet Adobe den Support für Flash 10.3 mit diesem letzten Update. Mit dem nächsten Patchday wird nur noch Flash 11.7 unterstützt.

Mit dem Juni-Patchday von Adobe werden wieder mehrere Sicherheitslücken im Flash Player und in Air beseitigt, die fast alle Betriebssysteme betreffen. Angreifer können bei veralteten Versionen den Flash Player zum Absturz bringen und Kontrolle über das angegriffene System übernehmen.

Der ganze Artikel

Quelle : www.golem.de

[SiLæncer]

Adobe hat Sicherheitsupdates für seinen Flash Player, den Shockwave Player und Hotfixes für ColdFusion herausgegeben. Mit den Updates werden kritische Schwachstellen geschlossen. Bei den gestopften Lücken in ColdFusion handele es sich um eine "kritische" und eine "wichtige".

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Im Zuge des monatlichen Patchdays am gestrigen Dienstag hat Adobe drei Sicherheits-Bulletins für den Flash Player, Adobe Reader und Acrobat sowie den Shockwave Player herausgegeben. Das Flash-Player-Update behebt eine Reihe von kritischen Speicherverletzungen, die Angreifer dazu benutzen können, Schadcode einzuschleusen und auszuführen – hiervon sind alle Platformen betroffen.

Ein Sammel-Update für Reader und Acrobat in den Versionen X und XI flickt drei Pufferüberläufe sowie eine Speicherverletzung, die ebenfalls zum Ausführen von Schadcode missbraucht werden können. Auch diese Probleme werden als kritisch eingestuft. Auch mit dem Shockwave Player kann ein Angreifer Schadcode mit Hilfe von zwei Speicherverletzungs-Problemen einschleusen, der Patch von Adobe behebt dies sowohl für Windows als auch Mac OS X.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Neben Microsoft hat auch Adobe am gestrigen Patchday zwei Sicherheitslücken geschlossen. Den ersten Patch hatte Adobe schon vorige Woche angekündigt; er betrifft eine kritische Lücke in Reader und Acrobat XI für Windows. Der zweite betrifft das Entwicklungswerkzeug RoboHelp und behebt eine ebenfalls als kritisch eingestufte Lücke. RoboHelp wird nur für Windows angeboten.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Speicherverwaltungsprobleme im Flash Player, die potentiell für die Ausführung von Schadcode genutzt werden können, wurden von Adobe mit einem Update am Patchday behoben. Betroffen ist Flash-Version 11.9.900.117 auf Windows und Mac OS X und Version 11.2.202.310 unter Linux, sowie die Versionen 3.9.0.1030 und 3.9.0.1060 von Adobe AIR. Ein weiteres Sicherheitsupdate wurde für den Applikationsserver ColdFusion veröffentlicht.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

In diversen Versionen von Adobe Flash klafft eine kritische Sicherheitslücke, die Cyber-Kriminelle bereits zum Einschleusen von Code missbrauchen. Adobe reagiert mit Notfall-Updates.

Neue Sicherheitsupdates schließen eine gefährliche Schwachstelle im Adobe Flash Player, für die es bereits einen Exploit gibt. Betroffen sind alle Flash-Player-Versionen bis einschließlich 12.0.0.43 für Windows und Mac OS X sowie bis einschließlich Version 11.2.202.335 für Linux. Bei der Lücke handelt es sich um einen Integer Overflow, der die CVE-Nummer CVE-2014-0497 zugewiesen wurde.

Für Abhilfe sorgen die folgenden Versionen:

    12.0.0.44 für Windows und Mac OS X
    11.7.700.261 für WIndows und Mac OS X
    11.2.202.336 für Linux

Der ganze Artikel

Quelle : www.heise.de