Adobe schließt 17 Sicherheitslücken in Flash Player, Reader und Acrobat

Office-AnwendungenSicherheitSicherheitsmanagementSoftware
logo_adobe

Nutzen Angreifer sie aus, können sie die Kontrolle über ein System übernehmen. In den Flash-Player-Versionen für Windows, Mac OS X und Linux stopft Adobe sechs Löcher. Im seinen Programmen Reader und Acrobat behebt das Unternehmen zwei beim Hackerwettbewerb Pwn2Own 2014 gezeigte Schwachstellen.

Adobe hat Updates für den Flash Player sowie die PDF-Applikationen Reader und Acrobat veröffentlicht. Diese schließen insgesamt 17 Sicherheitslecks. Adobe rät Anwendern, die Updates schnellstmöglich zu installieren. Es hat sie daher mit der Prioritätsstufe 1 bewertet. Folglich ist das Risiko, dass Hacker kurzfristig einen Exploit für die Lücken entwickeln, sehr hoch. Ein Angreifer könnte einen Crash der Applikationen verursachen und unter Umständen so auch die Kontrolle über ein betroffenes System übernehmen.

Adobe patcht Flash Player 13.0.0.206

In den Windows- und Mac-OS-Varianten des Flash Player 13.0.0.206 und früher sowie in Chrome und den Internet-Explorer-Versionen 10 und 11 finden sich insgesamt sechs Schwachstellen. Auch der Flash Player 11.2.202.356 für Linux sowie AIR SDK und Compiler 13.0.0.83 sind laut einer Sicherheitsmeldung angreifbar.

Mit den Flash-Versionen 13.0.0.214 für Windows und Mac OS X sowie 11.2.202.359 für Linux behebt Adobe einen Use-after-free-Bug sowie fünf Lücken, die es ermöglichen, Sicherheitsfunktionen zu umgehen. Der Patch für Reader XI (11.0.07) und Acrobat XI (11.0.07) beseitigt elf Bugs. Er steht für Windows und Mac OS X parat. Anwender, die nicht zu Version 11 wechseln können, sollten den für Reader X und Acrobat X verfügbar gemachten Patch einspielen.

Unter anderem einen Heap Overflow, einen Use-after-free-Bug, einen Pufferüberlauf sowie mehrere Speicherfehler hat Adobe in den Versionen 11.0.06 und 10.1.9 behoben. Zudem kann auch ein Fehler in der Implementierung der JavaScript-API dazu führen, das Informationen Unbefugten zugänglich werden.

Zwei der Schwachstellen hatte das französische Sicherheitsunternehmen Vupen ausgenutzt, um beim Hackerwettbewerb Pwn2Own 2014 die Kontrolle über ein komplett gepatchtes Windows-8-Notebook zu erhalten. Weitere Löcher haben Sicherheitsforscher von der Nanyang Technological University (China), Trend Micro, Agile Information Security, Ange Optimization, Ukatemi und Venustech Active-Defense Lab an Adobe gemeldet.

Ein dritter Sicherheitspatch soll eine ebenfalls als kritisch klassifizierte Schwachstelle in Adobe Illustrator (CS6) korrigieren. Davon betroffen sind die Windows-Versionen 16.0.3 und 16.2.0 und früher sowie die Mac-OS-X-Varianten 16.0.4 und 16.2.1 und früher. Der Patch für Illustrator muss jedoch manuell eingespielt werden. Eine Anleitung (PDF) dafür ist auf der Adobe-Website erhältlich.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen