Adobe weist auf schwerwiegende Schwachstelle in Flash Player hin
Die Lücke findet sich in den Versionen für Windows, OS X, Linux sowie Chrome OS. Ein Angreifer kann sie ausnutzen, um gegebenenfalls die komplette Kontrolle über ein betroffenes System zu übernehmen. Darüber hinaus beseitigen die jüngsten Aktualisierungen für Reader und Acrobat 92 Anfälligkeiten.
Adobe hat auf eine Zero-Day-Anfälligkeit in Flash Player hingewiesen, für die auch schon ein Exploit kursiert. Das Unternehmen bewertet die Schwachstelle mit der Kennung CVE-2016-4117 als schwerwiegend. Durch sie ist es einem Angreifer möglich, gegebenenfalls die komplette Kontrolle über ein betroffenes System zu übernehmen. Überdies schließt Adobe zahlreiche Lücken in seinen PDF-Anwendungen Reader und Acrobat.
Der Fehler findet sich in Flash Player 21.0.0.226 und früher für Windows, Mac OS X, Linux und Chrome OS. Schon für morgen hat Adobe angekündigt, einen Patch verfügbar zu machen. Ermittelt hat die Sicherheitslücke Genwei Jiang vom Security-Anbieter FireEye.
Außerdem schließen die neuesten Aktualisierungen für Acrobat DC und Reader DC 92 als schwerwiegend bewertete Anfälligkeiten. Sie stecken in den Versionen 15.010.20060 und früher sowie 15.006.30121 und früher für Windows und Mac OS X. Anfällig sind darüber hinaus Acrobat XI und Reader XI (Version 11.0.15 und früher).
Adobe hat hier zahlreiche Use-after-free- und Speicherfehler eliminiert, die das Einschleusen und Ausführen von Schadcode ermöglichen. Überdies ist es möglich, Ausführungseinschränkungen des JavaScript-API auszuhebeln. Ein Leck führt unter Umständen dazu, dass die PDF-Anwendungen persönliche Daten offenlegen.
Betroffene Anwender sollten auf die fehlerbereinigten Versionen 15.016.20039 oder 15.006.30172 von Acrobat DC und Reader DC für Windows und Mac OS X umsteigen. Acrobat XI und Reader XI hat Adobe ein Update auf Version 11.0.16 verpasst.
Ein weiterer Patch steht für ColdFusion 10 Update 18, ColdFusion 11 Update 7 und ColdFusion 2016.0.0 bereit. Drei Anfälligkeiten soll er beheben, von denen Adobe zufolge ein hohes Risiko ausgeht. ColdFusion ist etwa verwundbar für Cross-Site-Scripting. Davon abgesehen treten Probleme bei der Verifizierung von Wild-Card-Zertifikaten auf. Adobe aktualisiert jedoch ebenso die Apache Commons Collections Library.
Adobe liefert die jüngsten Versionen der PDF-Anwendungen über die integrierte Update-Funktion sowie seine Website aus. Ferner findet sich in einer Sicherheitsmeldung eine Beschreibung für das Update von ColdFusion 10, 11 und 2016.
Außer Flash und PDF sind auch Java und Silverlight immer wieder aufs Neue von Sicherheitsproblemen betroffen. Auf diese Plug-ins sollten Anwender entweder komplett verzichten oder sie derart konfigurieren, dass sie nicht automatisch Inhalte wiedergeben, sondern erst die Zustimmung des Nutzers einholen. Diese als „Click-To-Play“ bekannte Funktion offerieren unter anderen Firefox und Chrome.
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de –>Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.