Thema: Patchday bei Adobe

[SiLæncer]

Adobe hat mit der Auslieferung des Updates begonnen, das die kritische Schwachstelle im Flash Player stopfen soll. Die Version 16.0.0.305 wird derzeit nur über den Auto-Updater verteilt – der manuelle Download soll im Laufe des Donnerstags möglich werden.

Adobe verteilt seit kurzem die Flash-Version 16.0.0.305, das die seit Montag bekannte Zero-Day-Lücke schließen soll. Da die Lücke bereits aktiv ausgenutzt wird, sollten Flash-Nutzer nicht zögern, das Update zu installieren. Aktuell wird es allerdings nur über den Update-Manager des Flash Players verteilt, der manuelle Download soll noch im Laufe des Donnerstags zur Verfügung stehen. Auch die Aktualisierung für die integrierten Flash-Versionen in Chrome und dem Internet Explorer 10 und 11 lassen noch auf sich warten.

Betroffen sind Adobe zufolge die Versionen 16.0.0.296 und älter für Windows und Mac OS X sowie die Version 13.0.0.264 und älter. Steht die Aktualisierung noch nicht bereit, sollte das Plug-in vorsichtshalber deaktiviert werden.

Neue Details

Inzwischen sind weitere Details zu der Natur der Lücke bekannt. Laut einer Analyse von Trend Micro handelt es sich um eine Use-after-Free-Lücke, die beim Zusammenspiel von Hauptprozess und Workern in einer Multithread-Anwendung entsteht. Durch die Schwachstelle kann ein Angreifer beliebigen Code zur Ausführung bringen. Auch zu den beobachteten Angriffen gibt es neue Details: Demnach wird die Schwachstelle bereits seit Anfang Dezember von Cyber-Kriminellen missbraucht.

Der Angriffscode wird von einem Exploit-Kit namens HanJuan ausgeliefert. Er wird über ein Anzeigennetzerwerk verteilt und hat es so sogar auf prominente Webseiten wie das Videoportal DailyMotion geschafft. Da er dem Exploit zur Lücke CVE-2015-0311 stark ähnelt, geht Trend Micro davon aus, dass er von der gleichen Person entwickelt wurde. Die Sicherheitsfirma hat dem Exploit auf Google Chrome losgelassen und berichtet, dass er zwar die Flash-Lücke ausnutzen, nicht aber aus der Sandbox ausbrechen kann.

Adobe liefert mit dieser Aktualisierung bereits den vierten Patch für den Flash Player in diesem Jahr aus. Das letzte Update liegt erst eineinhalb Wochen zurück.

Update vom 5. Februar, 12 Uhr: Inzwischen steht Version 16.0.0.305 auch über die reguläre Download-Seite zur Installation bereit.

Quelle : www.heise.de

[SiLæncer]

Nach anfänglichen Startschwierigkeiten kommt nun fast jeder, der möchte, in den Genuss der abgesicherten Flash-Versionen. Adobe gab bekannt, dass sie gleich eine ganze Reihe von Sicherheitslöchern stopfen.

Der Umfang des neuesten Sicherheitsupdates für Flash ist deutlich größer als erwartet: Neben der bereits ausgenutzten Lücke schließt die Flash-Version 16.0.0.305 insgesamt 17 weitere Schwachstellen. Darunter befinden sich Speicherfehler, Buffer Overflows und Use-after-Free-Lücken, die sich allesamt zum Einschleusen von Schadcode eignen.

Die gute Nachricht ist, dass diese laut Adobe bislang nicht für Online-Angriffe missbraucht werden. Die meisten wurden vertraulich von Sicherheitsforschern gemeldet, etwa aus Googles Expertenteam Project Zero. Wie jedes Sicherheitsupdate liefert allerdings auch dieses Angreifern wertvolle Informationen über die geschlossenen Lücken. Für Nutzer älterer Flash-Versionen spitzt sich die Lage also weiter zu.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Adobe will am Patchday nächste Woche Updates für kritische Lücken im Reader und Acrobat bereitstellen.

Am kommenden Dienstag will Adobe Patches für den Reader und Acrobat für Windows- und OS-X-Systeme veröffentlichen. Die Schwachstellen stuft Adobe als kritisch ein, Exploits sollen derzeit aber nicht kursieren.

Folgende Versionen sind betroffen:

Adobe Reader, Acrobat XI (11.0.10) und frühere Versionen
Adobe Reader, Acrobat X (10.1.13) und frühere Versionen

Microsoft-Kunden müssen sich hingegen überraschen lassen, denn der Konzern benachrichtigt seit Januar dieses Jahres nur noch zahlende Premium-Kunden über anstehende Updates.

Quelle : www.heise.de

[SiLæncer]

Bisher haben Angreifer die in der letzten Woche bekanntgewordene Schwachstelle in Adobes Flash Player nur vereinzelt und gezielt attackiert. Aktuell nutzt jedoch auch das Magnitude Exploit Kit die Lücke aus und vergrößert den Angriffsradius.

Angreifer haben das Magnitude Exploit Kit aufgestockt und nutzen eine kritische Sicherheitslücke (CVE-2015-3113) im Flash Player aus. Das hat der Sicherheitsforscher Kafeine entdeckt. Aufgrund der Plug-&-Play-Bedienung eines Exploit Kits können selbst Anfänger Angriffe ausführen, was Übergriffe wahrscheinlicher macht. Zuvor wurde die Schwachstelle laut FireEye nur vereinzelt und gezielt attackiert. Das Einspielen des in der vorigen Woche veröffentlichten Notfall-Updates wird so noch dringlicher.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Spionage-Tools von Hacking Team nutzten seit Jahren eine Schwachstelle in Flash aus. Das Notfall-Update steht noch nicht global zur Verfügung.

Adobe sieht sich durch den Einbruch in das Computersystem der Hersteller von Überwachungs-Software Hacking Team gezwungen^, ein Notfall-Update für den Flash Player zu veröffentlichen. Denn die erbeuteten Dokumente haben unter anderem zutage gefördert, dass die Spionage-Tools der Firma eine bislang unentdeckte Flash-Lücke (CVE-2015-5119) ausnutzen.

Hacking Team prahlt in den geleakten Dokumenten und bezeichnet die Schwachstelle als "The most beautiful Flash bug for the last four years". Adobe zufolge nutzen Angreifer die Schwachstelle derzeit aktiv aus. Die Aktualisierung mit der Kennung 18.0.0.203 soll noch am heutigen Tag zum Download bereitstehen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Bei Adobes Plug-in stimmt die Balance aus Nutzen und Risiko nicht mehr. Es wird Zeit, dieses Relikt abzuschalten, meint Herbert Braun

Schleunigst updaten solle man Flash, so liest man zur Zeit überall, denn ständig tauchen neue Flash-Sicherheitslücken auf. Ich glaube vielmehr, es ist Zeit, Schluss zu machen mit Flash. Und dazu kann jeder einen Beitrag leisten.

Durch die Hacking-Team-Leaks folgen die Notfall-Updates so schnell aufeinander, dass man allmählich den Überblick verliert. Das wird sich wieder normalisieren, aber Flash bleibt ein riskantes Stück Software: 149 kritische Sicherheitslücken zählte das Bundesamt für Sicherheit in der Informationstechnik allein in den vergangenen zwölf Monaten.

Risiko vs. Nutzen

Neu ist, dass Nutzen und Risiko für eine wachsende Zahl von Webnutzern in keinem Verhältnis mehr stehen. Die Zahl relevanter Flash-Inhalte schrumpft. Neue Browser-Spiele werden immer öfter mit freien Webtechniken geschrieben. Große Videoportale wie YouTube, Vimeo oder Dailymotion kommen mittlerweile ohne Flash aus.. HTML5 hat technisch aufgeholt und erobert sich dessen letzte Domänen – zu denen auch unpopuläre wie DRM zählen.

Kein Wunder, dass das Web die Geduld mit Flash verliert. So stellte Mozilla am Montag kurzerhand Flash über die zentrale Blockliste auf "Click to Play", ohne Adobes Update abzuwarten; ähnlich ging Apple bei Mac OS vor.

Flash erinnert an den Internet Explorer 6: ein mächtiges Gespenst aus der Vergangenheit, das wir nicht mehr brauchen. Während allerdings Microsoft hart gekämpft hat, um dieses Gespenst des IE6 zu verscheuchen, mag sich Adobe von seiner einstigen Erfolgstechnologie noch nicht verabschieden – obwohl das Unternehmen natürlich längst weiß, dass Flash eine Leiche auf Urlaub ist, und deshalb seine Investitionen auf diesem Gebiet zurückgefahren hat.

Todeswunsch

"Es wird Zeit, dass Adobe das End-of-Life-Datum für Flash ankündigt", war kürzlich in einem populären Tweet zu lesen. Aufsehen erregte diese Äußerung vor allem wegen ihres Autors: Alex Stamos ist bei Facebook der oberste Verantwortliche für Sicherheit.

Ein "Geh sterben!" von so prominenter Quelle musste sich die Flash-Plattform zuletzt vor fünf Jahren von Steve Jobs anhören. Doch während das Herausdrängen von Flash aus dem Fundus der Webtechniken damals ein Zukunftsprojekt war, scheint es jetzt allmählich soweit zu sein. Inzwischen steht das gesamte Konzept der Browser-Plug-ins in der Schmuddelecke. Die Plug-in-Schnittstellen NPAPI und ActiveX liegen in den letzten Zügen, PPAPI läuft nur in Chromium und wird nur eine Zwischenlösung sein.

Als Steve Jobs bei der Präsentation des ersten iPad Seiten ansurfte, die statt der eingebundenen Flash-Inhalte nur Legostein-Symbole als Platzhalter zeigten, wirkte das wie eine Provokation. Mittlerweile sind fünf Jahre vergangen, und wir surfen immer noch (und immer mehr) ohne Flash auf Smartphone und Tablet herum. Haben Sie schon einmal gehört, dass es jemand vermisst hätte? Oh, es gibt eine Flash-Player-Version für Mobilgeräte namens Flash Lite, aber deren letzte Version stammt aus der Zeit des iPad 1.

Wer heute neue Webanwendungen mit Flash baut, schließt einen großen Teil der potenziellen Besucher aus. Es ist mir schleierhaft, warum manche immer noch auf dieses tote Pferd setzen. Hört auf damit!

Flash abschalten

Seit ein paar Wochen habe ich Flash von meinem Rechner verbannt. Tatsächlich tauchen hin und wieder Hinweise im Browser auf, ich möge doch für dieses gesponserte Video oder jenes lustige Filmchen Flash installieren. Inhalte, die mich interessiert haben, waren bisher keine darunter.

Es ist übrigens gar nicht so einfach, Flash wirklich loszuwerden. Eine Suche nach Dateinamen, die "flash" enthalten, kann für Überraschung sorgen. Auf meinem Laptop war die ActiveX-Version für den Internet Explorer vorinstalliert und lässt sich nicht ohne Gewaltmaßnahmen beseitigen. Chrome bringt sein Flash-Plug-in gleich selber mit, sieht aber leider keine Möglichkeit vor, dieses auch zu entfernen. Auch andere Software wie der Bildbetrachter IrfanView oder der Screenreader NVDA enthalten Flash.

Wer seinen Rechner entflashen möchte, sollte es zuerst mit dem vom jeweiligen System vorgesehenen Weg zur Software-Deinstallation versuchen. Adobe bietet zusätzlich ein Deinstallationsprogramm an. Klappt das nicht, bleibt nur das Deaktivieren im Browser. Bei Chrome und Co. geht das über die URL chrome://plugins, bei Firefox mit about://addons oder einfacher unter Extras und dann Add-ons; im Internet Explorer klicken Sie im Zahnradmenü auf "Add-Ons verwalten". Und wenn demnächst wieder eine Flash-Katastrophenwarnung Schlagzeilen macht, können Sie sich entspannt zurücklehnen.

[Update 17.97.2015 – 12:50 Uhr] Ursprünglich stand in dem Kommentar, Vimeo und Dailymotion würden noch Flash verlangen. Das ist nicht der Fall und wurde korrigiert.

Quelle : www.heise.de

 

[SiLæncer]

Am heutigen Patchday liefert Adobe neue Flash-Versionen aus, die insgesamt 35 Sicherheitslücken stopfen sollen - die meisten davon kritisch.

Es nimmt kein Ende: Erneut stellt Adobe Flash-Updates für alle Versionen bereit. Erneut stopfen sie so viele Lücken, dass man sie gar nicht mehr einzeln aufzählen mag. Ganze 35 Lücken mit eigenem Common Vulnerability Identifier (CVE) listet Adobe in seinem Security Bulletin APSB15-19 auf.

34 der Lücken sind als hoch kritisch eingestuft, sprich: Angreifer, die sie ausnutzen, können damit ein System übers Netz mit Schad-Software infizieren. Betroffen sind vor allem die Versionen für Windows und Mac vor 18.0.0.232 und dabei auch die bei Internet Explorer und Chrome verwendeten Flash-Erweiterungen, die Microsoft beziehungsweise Google direkt stopfen. Aber auch Flash für Linux und Adobe AIR sind anfällig.

Exploits für Sicherheitslücken in Flash werden in der Regel sehr schnell in Exploit-Kits eingebaut und dann von kriminellen Banden genutzt, um in möglichst großer Zahl PCs mit Ransomware, Online-Banking-Trojanern oder anderer Crimeware zu infizieren. Das Titelthema Die Waffen der Hacker der aktuellen c't beleuchtet diese Szene und ihre kriminellen Geschäfte. Anwender sollten die Updates möglichst schnell einspielen, um sich davor zu schützen – oder sie sagen einfach wie unser Kommentator Herbert Braun: Weg mit Flash!

Quelle : www.heise.de

[SiLæncer]

Sicherheitslücken in beiden Produkten erlauben es Angreifern, den Rechner des Opfers aus der Ferne zu kapern. Bei Flash werden insgesamt 13 Lücken durch die Updates geschlossen, bei Acrobat und Reader sind es 56 Lücken.

Adobe hat im Rahmen seines monatlichen Patchdays heute Sicherheitsupdates für Adobe Flash sowie die Produkte Reader und Acrobat veröffentlicht. Bei Flash werden 13 verschiedene Sicherheitslücken gestopft, bei Reader und Acrobat ganze 56 Lücken. In allen drei Programmen schließen die Updates kritische Lücken, die es Angreifern erlauben, den Rechner des Opfers aus der Ferne zu kapern.

Nutzer von Adobe Flash auf Windows und Mac OS X sollten auf die Versionen 19.0.0.207 oder 18.0.0.252 aktualisieren. Linux-Nutzer sollten Version 11.2.202.535 installieren, um auf der sicheren Seite zu sein. Nutzer von Adobe AIR und dem AIR SDK sollten auf Version 19.0.0.213 der Software umsteigen. Google Chrome auf Windows, Mac OS X und Linux aktualisiert sich selbst auf Version 19.0.0.207; ebenso Internet Explorer 10 und 11 für Windows 8 und 8.1 sowie IE 11 und der Edge-Browser auf Windows 10 – hier sind keine manuellen Eingriffe des Nutzers nötig.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eine Sicherheitsfirma berichtet von gezielten Angriffen, die momentan stattfinden und eine Zero-Day-Lücke in der aktuellen Flash-Version für Windows missbrauchen.

Adobe hat gerade erst Sicherheitsupdates für Flash veröffentlicht. Trotzdem scheint die aktuellste Version des Flash-Players nach wie vor angreifbar zu sein. Wie die Sicherheitsfirma Trend Micro berichtet, missbrauchen Angreifer momentan eine Zero-Day-Lücke, für die auch die aktuelle Flash-Version auf Windows (19.0.0.207) anfällig ist. Laut Trend Micro wird die Lücke von Mitgliedern der Gruppe Pawn Storm missbraucht, die seit Jahren aktiv ist und vor allem politische Ziele in Regierungs- und Militärkreisen attackiert.

Die Angreifer setzen unter anderem falsche Outlook-Web-Access-Server auf, um Login-Daten im großen Stil abzugreifen. Über den Flash-Zero-Day kapern sie zusätzlich Client-Rechner im internen Netz der Organisationen. Neben Version 19.0.0.207 soll auch die ältere Flash-Variante 19.0.0.185 angreifbar sein. Ob neben den Pawn-Storm-Hackern momentan auch andere Angreifer über die Lücke im großen Stil Rechner im Netz angreifen, ist momentan nicht bekannt. Trend Micro hat Adobe nach eigenen Angaben bereits über die Lücke informiert.

Quelle : www.heise.de

[SiLæncer]

Einer Sicherheitsfirma zufolge greift die Gruppe Pawn Storm derzeit gezielt aktuelle Flash-Versionen über eine Zero-Day-Lücke an. Adobe hat nun einen Patch angekündigt.

Die aktuellen Flash-Versionen bis 11.2.202.535, 18.0.0.252 und 19.0.0.207 unter Linux, OS X und Windows sind über eine als kritisch eingestufte Lücke (CVE-2015-7645) verwundbar, warnt Adobe. Den entsprechenden Patch will der Konzern im Laufe der kommenden Woche veröffentlichen.

Aktuell sollen Angreifer der Gruppe Pawn Storm vor allem politische Ziele in Regierungs- und Militärkreisen attackieren. Dabei nutzen die Angreifer die Schwachstelle im Flash Player als Einfallstor, um die Kontrolle über Computersysteme zu erlangen. Die Zero-Day-Lücke und die Angriffe haben Sicherheitsforscher von Trend Micro entdeckt.

Quelle : www.heise.de

[SiLæncer]

Die kurz nach dem Patchday aufgetauchte Flash-Lücke ist gestopft. Adobe verteilt nun neue Flash-Versionen.

Adobe hat mit der Verteilung eines Patches für die kritische Sicherheitslücke in Flash begonnen, die kurz nach dem letzten Patchday bekannt geworden war und bereits von Angreifern ausgenutzt wird. Nutzer von Windows and Mac OS X erhalten nun die Flash-Version 19.0.0.226 über Adobes Download-Seite. Linux-Nutzer bekommen Flash 11.2.202.540 angeboten.

Noch hat Adobe seine Sicherheitsmeldung zu der Flash-Lücke nicht aktualisiert und auch manche Beschreibungen auf verschiedenen Adobe Webseiten listen noch die älteren angreifbaren Flash-Versionen als neueste Version. Wer momentan auf Nummer Sicher gehen will, sollte auf dieser Seite die neueste Version für sein Betriebssystem herunterladen.

Quelle : www.heise.de

[SiLæncer]

Angreifer können den Shockwave Player verwenden, um aus der Ferne Schadcode auf Rechner zu schleusen. Adobe bewertet die Lücke mit der höchsten Prioritätsstufe.

Mit einem außerplanmäßigen Sicherheitsupdate schließt Adobe eine Speicherverarbeitungslücke im Shockwave Player (CVE-2015-7649). Laut den Entwicklern wird die Sicherheitslücke momentan nicht für Angriffe genutzt, allerdings bewerten sie deren Bedrohungspotential mit der höchsten von den drei von Adobe vergebenen Prioritätsstufen. Angreifer können die Schwachstelle missbrauchen, um Schadcode aus der Ferne auszuführen.

Betroffen sind alle Versionen von Schockwave bis einschließlich Shockwave 12.2.0.162 auf Windows und Mac OS X. Nutzer sollten ihren Shockwave Player auf Version 12.2.1.171 aktualisieren. Diese kann auf der Shockwave-Downloadseite von Adobe heruntergeladen werden.

Quelle : www.heise.de

[SiLæncer]

Flash liegt mal wieder auf dem OP-Tisch und wird geflickt. Nutzer sollten ihren Flash-Patienten zügig behandeln, denn die Lücken gelten als kritisch. Exploits sollen aber noch nicht kursieren.

17 kritische Schwachstellen klaffen im Flash-Player bis Version 19.0.0.226 unter OS X und Windows. Unter Linux sind die Versionen bis 11.2.202.540 verwundbar. Adobe stuft die Lücken mit der höchsten Priorität ein. Aktuell soll es aber noch keine Angriffe geben. Findet ein Übergriff statt, könnte ein Angreifer im schlimmsten Fall den gesamten Computer kapern.

OS X- und Windows-Nutzer sollten zügig die abgesicherte Version 19.0.0.245 und Linux-Nutzer die Version 11.2.202.548 einspielen. Auf der About-Flash-Player-Webseite kann man überprüfen, welche Version man installiert hat.

Das Update findet man zum einer auf einer Adobe-Webseite, die den Nutzer automatisch mit der für das Betriebssystem und Webbrowser passenden Version versorgt. Alternativ kann man die aktuelle Version auch einzeln zur Weiterverteilung herunterladen. Nutzer der Webbrowser Chrome, Edge und Internet Explorer 10 und 11 ab Windows 8 bekommen das Flash-Update automatisch zugespielt.

AIR-SDK-Update nach eigenem Ermessen

Auch das AIR SDK für Android, iOS, OS X und Windows erfährt eine Aktualisierung. Adobe sieht dabei aber kein großes Gefahrenpotential und empfiehlt Admins das Update nach eigenem Ermessen einzuspielen. Auf einer Adobe-Hilfe-Webseite findet sich eine Anleitung, um die installierte AIR-SDK-Version herauszufinden.

Quelle und Links : http://www.heise.de/newsticker/meldung/Patchday-Adobe-pflegt-den-Flash-Patienten-2916509.html

[SiLæncer]

Adobe stopft vier Sicherheitslücken in ColdFusion, LiveCycle Data Services und Premiere Clip. Exploits sollen noch nicht im Umlauf sein.

Adobes ColdFusion 10 bis zum Update 17 und ColdFuison 11 bis zum Update 6 sind für alle verfügbaren Plattformen verwundbar. Angreifer können zwei Lücken (CVE-2015-8052 und CVE-2015-8053) für XSS-Attacken missbrauchen. Das Update 7 und 18 stehen zum Download bereit.

Adobe empfiehlt Nutzern, die Sicherheitsupdates einzuspielen. Eine akute Bedrohung gebe es aber derzeit nicht. Eine weitere Schwachstelle (CVE-2015-5255) klafft in BlazeDS, die die Updates auch schließen. Zudem rät Adobe, die Sicherheitshinweise für ColdFusion zu befolgen.

LiveCycle Data Services und Premiere Clip auch bedroht

Adobes LiveCycle Data Services sind in den Versionen 3.0.x, 3.1.x, 4.6.2 und 4.7 unter OS X, Unix und Windows bedroht. Das Sicherheitsupdate kümmert sich hier ebenfalls um BlazeDS.

In Apples App Store steht zudem die abgesicherte Version 1.2.1 von Adobe Premiere Clip zum Download bereit. Der Patch fixt einen Fehler bei der Validierung von Benutzereingaben.

Quelle und Links : http://www.heise.de/newsticker/meldung/Patches-ausser-der-Reihe-Adobe-dichtet-ColdFusion-ab-2923825.html

[SiLæncer]

Angreifer können den Flash Player bis Version 19.0.0.245 unter OS X und Windows und unter Linux bis Version 11.2.202.548 attackieren. Mit der Version 20.0.0.228 für OS X und Windows und 18.0.0.268 für Linux dichtet Adobe eigenen Angaben zufolge verschiedene Sicherheitslücken ab, die 77 CVE-Nummern zugeordnet sind. Darin sind auch Updates enthalten, die das AIR SDK sicherer machen sollen.

Die Zahl der CVE-Nummern kann man nicht immer ein zu eins auf die Anzahl von Sicherheitslücken übertragen, denn mitunter kommt es vor, dass eine CVE-Nummer mehrere Schwachstellen bezeichnet.

Adobe stuft alle Sicherheitsupdates als kritisch ein und Nutzer sollten die neue Version so schnell wie möglich installieren. Auf der About-Flash-Player-Webseite kann man die aktuell installierte Version einsehen. Linux-, OS-X- und Windows-Nutzer können sich auf einer Adobe-Webseite automatisch die passende Version herunterladen.

Der ganze Artikel

Quelle : www.heise.de