Die Tage des Flash Player sind gezählt. Zum Glück, ist er doch eines der Einfallstore für Malware. Mit HTML5 steht ein adäquater Ersatz bereit. Doch ein Leben ganz ohne Adobe und Tools wie Reader und Photoshop? ITespresso zeigt, ob es mit alternativer Gratis-Software, möglich ist.
Gegegebenenfalls können Angreifer mithilfe dieser Schwachstellen die Kontrolle über ein System übernehmen. Neben Acrobat DC und Acrobat Reader DC sind auch Reader und Acrobat 11.x verwundbar. Adobe verweist zudem darauf, dass Reader und Acrobat 10.x keine Sicherheits-Updates mehr bekommen.
Die Sicherheitslücke wurde von Adobe bereits im September behoben. Nun hat James Forshaw von Googles Project Zero einen Exploit sowohl im Quelltext als auch kompiliert vorgelegt. Für Nutzer von Adobe Reader und Adobe Acrobat ist es daher jetzt allerhöchste Zeit, auf Version 11.0.9 umzusteigen.
Sie schließen insgesamt acht als kritisch eingestufte Sicherheitslücken in den Adobe-Produkten. Betroffen sind die Versionen Adobe Reader 11.0.08 und früher sowie Adobe Acrobat 10.1.11 und früher für Windows und OS X. Eine Schwachstellen ermöglicht unter Windows die Sandbox zu umgehen. Eine Cross-Site-Scripting-Lücke tritt nur bei OS X auf.
Planmäßig hätt der Patch heute zur Verfügung gestellt werden sollen. Er wird nun allerdings erst kommende Woche bereit gestellt. Die Verzögerung begründet Adobe damit, dass bei routinemäßigen Tests ein Fehler entdeckt wurde. Der steckt offenbar in den Windows- und Mac-Versionen von Reader und Acrobat X 10.1.11 und früher sowie XI 11.0.08.
Nutzen Angreifer sie aus, können sie die Kontrolle über ein System übernehmen. In den Flash-Player-Versionen für Windows, Mac OS X und Linux stopft Adobe sechs Löcher. Im seinen Programmen Reader und Acrobat behebt das Unternehmen zwei beim Hackerwettbewerb Pwn2Own 2014 gezeigte Schwachstellen.
Zum Januar-Patchday liefert Microsoft Fixes für insgesamt sechs Schwachstellen aus. Dazu gehört auch ein Update für die seit November bekannte Lücke in Windows XP. Gleichzeitig stellt Adobe zudem neue Versionen von Reader, Acrobat und Flash Player bereit.
Das zeigt eine jetzt von AV-Test vorgelegt Auswertung. Sie bezieht sich auf die Jahre 2000 bis 2013. Von der Microsoft-eigenen Software war der Internet Explorer das meistgenutzte Einfallstor für Angreifer. Noch häufiger versuchten sie es allerdings über Bildformate wie WMF oder JPG.
Die Sicherheitsupdates betreffen Acrobat, Flash und Shockwave. Das Update für die PDF-Anwendungen tilgt acht Lücken. Die Flash-Versionen für Windows, Mac OS X, Linux und Android werden um vier angreifbare Stellen erleichtert.
Anwendern rät Kaspersky Lab bei Mahnungen per E-Mail besonders am 21. März und 4. April vorsichtig zu sein. Die Sicherheitsexperten rechnen damit, dass an diesen Tagen vermehrt Mails mit Trojaner im PDF-Anhang unterwegs sein werden. Die Malware nutzt den Exploit “CVE-2010-0188” in Adobes Acrobat Reader aus.
Die Sicherheitslücken finden sich in den Versionen für Windows, Mac OS X und Linux von Reader und Acrobat. Angreifer können darüber unter anderem die Schutzmechanismen ASLR und DEP aushebeln. Dadurch lässt sich Schadcode einschleusen und auf angegriffenen Systemen ausführen.
Adobe hechelt im Rennen mit den Hackern auch weiterhin hinterher: Schon wieder liegen Exploits für zwei neue Schwachstellen, vor, diesmal im Adobe Reader und Adobe Acrobat 9.5.3 für Linux. Angreifer können Schadcode einschleusen und außerhalb der Sandbox der PDF-Anwendungen ausführen. Um sich zu wehren, will Adobe die geschützte Ansicht möglicherweise künftig ab Werk aktivieren.
Angreifer können mit ihrer Hilfe Schadcode erstmals auch außerhalb der mit Acrobat Reader X eingeführten Sandbox der Anwendung ausführen. Auf dem Schwarzmarkt wird der Exploit für die Schwachstelle für 30.000 bis 50.000 Dollar gehandelt. Adobe ist angeblich informiert, weiß aber offiziell noch von nichts.
Die aktuellste Version der kostenlosen Komponente von Adobes PDF-Software läuft unter Windows und Mac OS X. Sie bietet nun auch bisher nur mit der kostenpflichtigen Acrobat-Variante erhältliche Kommentarfunktionen. Eine überarbeitete Sandbox soll zudem die Anwendung sicherer machen.
Wer die neuesgen Patches von Adobe nicht installiert, setzt sich dem Risiko von Zero-Day-Lücken in Adobe Reader aus. Zwei Google-Security- Experten weisen darauf hin, dass die Lücken das Einschleusen und Ausführen von Schadcode ermöglichen – und Adobe noch nicht alle Lecks beseitigt hat.
Die Lücken stuft Adobe selbst als “kritisch” ein. Betroffen sind die Versionen 10.1.2 für Windows und Mac OS X sowie Reader 9.4.6 für Linux. Es stehen auch Updates für Reader für iOS und Android zur Verfügung. Außerdem hat der Hersteller angekündigt, sich vom bisherigen Dreimonatsrythmus bei seinem Patchday zu verabschieden und dem monatlichen von Microsoft anzunähern.
Schon wieder neue Schwachstellen, die Angreifer ausnutzen könnten: In den weit verbreiteten Adobe-Produkten finden Cyberkriminelle immer wieder neue Löcher, die sie für ihre Zwecke missbrauchen könnten. Adobe reagiert schnell und patcht die Sicherheitslecks.
Mit einem Update dichtet Adobe zwei Lecks in den 9er-Versionen von Reader und Acrobat ab. Für die 10er-Versionen soll es erst zum regulären Patchday im Januar ein Update geben.
In Adobe Reader und Adobe Acrobat lauert ein bislang unbekanntes Leck, das Cyberkriminelle bereits vereinzelt für Angriffe ausnutzen. In der nächsten Woche soll deshalb außer der Reihe ein Patch veröffentlicht werden.
Adobe hat gleich eine ganze Reihe Updates veröffentlicht und dichtet nicht nur Flash Player sowie Adobe Reader und Acrobat ab, sondern auch Shockwave Player, Cold Fusion, Lifecycle-Produkte und BlazeDS.
Erneut ist ein Zero-Day-Leck im Flash Player aufgetaucht, durch das Angreifer die Kontrolle über einen Rechner übernehmen können. Auch Adobe Reader und Acrobat sind anfällig, da sie eingebettete Flash-Objekte abspielen.
Adobe hat wie angekündigt einige Updates veröffentlicht, um Sicherheitslücken in seinen Programmen abzudichten, die bereits seit der vergangenen Woche ausgenutzt wurden.
Cyberkriminelle nutzen eine bislang unbekannte Schwachstelle im Flash Player aus. Da sich Flash-Dateien auch in PDFs einbinden lassen, sind Adobe Reader und Acrobat ebenfalls betroffen. Updates gibt es nächste Woche – nur nicht für den neuen Reader X, den Adobe für sicher hält.
Mehrere kritische Lücken wurden seit den letzten Adobe-Patches bekannt, und so sieht sich der Software-Anbieter gezwungen, schon neue Fixes zu liefern, bevor der nächste offizielle Patch-Reigen beginnt.
Das in der vergangenen Woche im Shockwave Player entdeckte Sicherheitsleck hat Adobe gerade mit einem Update bedacht, da ist im Flash Player ein neues Leck aufgetaucht, das sich durch in PDFs eingebettete Flash-Inhalte auch in Adobe Reader und Acrobat ausnutzen lässt.
Das neue Produkt soll Dokumenten-Erzeugung, Präsentation Groupware-Funktionen wie Abstimmung und Verteilung kombinieren und verbessern.
Adobe hat wie angekündigt Reader und Acrobat aktualisiert, um mehrere kritische Sicherheitslücken in den Programmen zu schließen.
In einem Weblog-Beitrag weist Adobe noch einmal darauf hin, dass man den Patch Day für Adobe Reader und Adobe Acrobat vom 12. auf den 5. Oktober vorzieht.
In einem Security Advisory weist Adobe auf ein bislang unbekanntes Leck im Flash Player hin, das zumindest unter Windows bereits für Attacken genutzt wird.
Adobe hat Meldungen bestätigt, nach denen in Reader und Acrobat ein kritisches Sicherheitsleck zu finden ist. Ein Patch ist in Arbeit, allerdings steht noch nicht fest, wann dieser veröffentlicht wird.
