Thema: Patchday bei Adobe

[SiLæncer]

Adobe warnt vor einer kritischen Sicherheitslücke in den Anwendungen Flash Player und Reader. Für das bekannte Browser-Plug-In steht bereits eine aktualisierte Version zur Verfügung, der Patch für den Reader erscheint nächste Woche.

Laut dem Security Bulletin APSB10-06 sind von der Flash-Lücke alle Versionen bis einschließlich 10.0.42.34 betroffen. Man empfiehlt allen Nutzern umgehend die Installation des Flash-Players 10.0.45.2. Auch in Adobe AIR ist das Problem aufgetaucht. Hier sollte die neue Version 1.5.3.1930 so schnell wie möglich installiert werden.

Von der Lücke im Adobe Reader, auf die im Security Bulletin APSB10-07 hingewiesen wird, sind die Versionen Reader 9.3 für Windows, Mac und Unix, Acrobat 9.3 für Windows und Mac, Reader 8.2 für Windows und Mac sowie Acrobat 8.2 für Windows und Mac betroffen.

Am Dienstag, den 16. Februar, will Adobe ein Update veröffentlichen, mit dem diese Sicherheitslücke geschlossen werden soll. Genauere Angaben zur Art und Ursache der Probleme machen die Entwickler nicht.

Quelle : http://winfuture.de

[SiLæncer]

Das Sicherheits-Update 10.0.45.2 für Adobes Flash-Player und 1.5.3.1930 für AIR schließt eine kritische Sicherheitslücke, durch die Flash-Applets bestimmte Sicherheitsfunktionen aushebeln können, um ohne Nachfrage auf andere Webseiten zuzugreifen. Ein präpariertes Flash auf einer bösartigen Seite könnte die in einem weiteren Browserfenster angezeigten Informationen einer anderen Seite auslesen, beispielsweise Bankdaten und Ähnliches.

Normalerweise dürfen Flash-Applikationen nur auf die Ressourcen des Servers zugreifen, von dem sie geladen wurden. Um das Nachladen von Inhalten etwas flexibler zu gestalten, erlaubt das Flash-Framework seit Version 7 sogenannten Cross-Domain-Requests, wozu die von einem Flash-Applet angefragte Seite die Datei crossdomain.xml ausliefert. Darin ist festgelegt, von welchen externen Seiten respektive Servern Flash-Applets derartige Anfragen stellen dürfen, ohne dass es zu einer Warnung im Flash-Player kommt.

Üblicherweise sind diese Vorgaben sehr restriktiv, sodass der Betreiber eine Webseite dort nur die Domains von Partnern und anderen vertrauenswürdigen Seiten einträgt. Durch die Lücke lässt sich diese Einschränkung aber offenbar umgehen; ein manipuliertes Flash einer beliebigen Webseite kann auch ohne Freigabe auf Objekte anderer Seiten zugreifen. Anwender sollten also nicht zögern, das Flash-Update so schnell wie möglich zu installieren.

Daneben behebt das Update eine nicht näher beschriebene Denial-of-Service-Schwachstelle. Ob es sich eventuell um die seit mehreren Monaten ungepatchte Schwachstelle handelt, für die Adobe sich kürzlich entschuldigte, müssen weitere Tests zeigen. Eigentlich wollte der Hersteller diese Lücke erst im nächsten Major-Release 10.1 beseitigen.

Das Update für den Flash Player steht für Windows, Mac OS X und Linux zum Download bereit. Alternativ können Anwender auch die integrierte Update-Funktion verwenden. Das AIR-Update steht ebenfalls für Windows, Mac OS X und Linux zum Download zur Verfügung.

Quelle : www.heise.de

[SiLæncer]

Betroffen sind die Versionen 9.3 sowie 8.2 und früher. Die Fehler treten unter Windows, Mac OS X und Unix auf. Eine Codeanfälligkeit ermöglicht das Einschleusen von beliebigem Schadcode nach einem provozierten Absturz.

Adobe hat wie angekündigt außer der Reihe ein Update für Reader und Acrobat veröffentlicht, das zwei als kritisch eingestufte Sicherheitslücken schließt. Betroffen sind Nutzer der PDF-Software unter Windows, Mac OS X und Linux.

Einer Sicherheitswarnung zufolge besteht in der Version 9.3 und früher von Reader sowie Acrobat eine Codeanfälligkeit, mittels der Angreifer einen Absturz provozieren können, um anschließend beliebigem Schadcode einzuschleusen und auszuführen. Darüber hinaus schließt Adobe eine Lücke, die unerlaubte Cross-Domain-Zugriffe ermöglicht. Das gleiche Loch hat der Softwareanbieter in der vergangenen Woche auch im Flash Player gestopft.

Adobe empfiehlt allen betroffenen Nutzern, Reader und Acrobat 9.3.1 zu installieren. Für Anwender, die Version 8.x der PDF-Programme einsetzen, steht ein Update auf Reader und Acrobat 8.2.1 bereit.

Als Grund für das vorgezogene Update nennt Adobe-Sprecherin Wiebke Lips den in der vergangenen Woche behobenen Fehler im Flash Player, der auch Reader und Acrobat betrifft. Adobe seien bisher keine Exploits für eine der jetzt geschlossenen Lücken bekannt.

Quelle : www.zdnet.de

[SiLæncer]

Der Sicherheitsdienstleister Secunia meldet, dass Adobe immer noch alte Versionen des Readers verteilt, die bekannte Sicherheitslücken enthalten. Bereits am Dienstag hatte Adobe mit einer Sicherheitsnotiz vor einer kritischen Sicherheitslücke in Version 9.3 gewarnt und deshalb außer der Reihe Version 9.3.1 veröffentlicht. Doch die bekommt man derzeit nur über den Update-Mechanismus.

Als heise Security testweise über die offizielle Download-Seite die dort angebotene Version installierte, landete tatsächlich ein alter, unsicherer PDF-Reader auf der Platte. Der Update-Check von heise-Security bestätigte diesen Sachverhalt und meldete prompt die verwundbare Version 9.3.0. Kurz darauf sprang dann auch der eingebaute Update-Mechanismus von Adobe an, und informierte, dass eine neue Version zur Installation bereit stehe.

Ein ähnliches Problem hatte Adobe bereits im Sommer 2009. Anwender sollten nach der Installation des PDF-Readers also am besten gleich manuell ein Update anstoßen – oder sicherheitshalber gleich ein alternatives Produkt wählen.

Quelle : www.heise.de

[SiLæncer]

Neue Sicherheitsprobleme halten Adobes Entwickler weiterhin in Atem. Eine Lücke in Adobes Download Manager (DLM) lässt sich nach Angaben des israelischen Sicherheitsspezialisten Aviv Raff ausnutzen, um über eine präparierte Webseite beliebige Software auf einen Windows-Rechner zu installieren. Eigentlich sollte dies nur der von Adobe signierten Software vorbehalten sein und auch nur, wenn sie von Adobe-Seiten stammt. Durch einen oder mehrere Fehler ist es aber offenbar möglich, weitere Software auf den Rechner zu laden und zu starten. Raff hat dies nach eigenen Angaben mit einer eigenen Version des Windows-Taschenrechners geschafft.

Details zu der Lücke will Raff aber erst veröffentlichen, wenn Adobe sie geschlossen hat. Adobe hat das Problem bestätigt und arbeitet zusammen mit dem Sicherheitsspezialisten und dem eigentlichen Hersteller des Download Managers an einer Lösung. Ganz so einfach lässt sich die Lücke allerdings nicht ausnutzen, denn üblicherweise ist der DLM nicht fest auf einem System installiert. Er klinkt sich erst beim Aufruf etwa der Flash-Player-Seite als ActiveX-Control ein – was in den Standardeinstellungen des Internet Explorer aber eine Nachfrage beim Anwender um Erlaubnis provoziert. Zudem ist das Control nur bis zum nächsten Neustart des Windows-Rechners aktiv, danach ist es vom Rechner verschwunden. Für das Firefox-Plug-in gilt unter Windows ähnliches.

Solange der DLM jedoch beispielsweise nach der Installation oder dem Update des Flash Player aktiv ist, lassen sich weitere Adobe-Anwendungen auf dem Rechner installieren. Allerdings informiert der DLM den Anwender darüber, was er gerade herunterlädt und installiert. Für Letzteres fragt er unter Windows XP jedoch nicht um Erlaubnis, wie heise Security in einem kurzen Test festgestellt hat. Unter Windows 7 und Vista fragt immerhin die UAC nach, ob das erlaubt sei.

Laut Raff birgt dieser Automatismus des DLM weiteres Missbrauchspotenzial. Solange der DLM aktiv ist, könne ein Angreifer ein Opfer auf die Seite von Adobe umleiten, um ihnen dort das Plug-in für den Adobe Reader installieren zu lassen. Ist der Angreifer im Besitz eines Zero-Day-Exploits für den Reader, wie zuletzt bei der Schwachstelle im Dezember, könnte er im Anschluss die Lücke im Reader-Plug-in gleich ausnutzen, um den PC unter seine Kontrolle zu bekommen. Selbst Anwender, die aus Sicherheitsgründen das Plug-in des Foxit-Reader statt des Adobe Reader installiert haben, wären so plötzlich wieder angreifbar.

Quelle : www.heise.de

[SiLæncer]

Adobe hat eine Sicherheitslücke im Download Manager (DLM) geschlossen, durch die präparierte Webseiten beliebige Software auf einen Windows-Rechner installieren können. Das Problem war Ende der vergangenen Woche bekannt geworden. Die Lösung des Problems hat damit zwar nicht mal eine Woche gedauert, allerdings kann man diesen Erfolg nicht wirklich Adobes Entwickler zu Gute schreiben, denn der eigentliche Hersteller des DLM ist NOS Micro. Der ist allerdings auch für den Fehler verantwortlich; Adobe nutzt dessen getPlus-Browser-Plug-ins für den DLM.

Normalerweise sollten die Plug-ins nur unmittelbar nach der Installation des Flash Player oder des Reader über Adobes Seiten auf dem Windows-Rechner zu finden und nach dem Neustart des Systems verschwunden sein. Die Plug-ins werden nur bei Bedarf als ActiveX-Control im Internet Explorer oder als Addon im Firefox installiert. Adobe empfiehlt aber trotzdem, das System auf die Präsenz des DLM zu untersuchen. Anleitungen zum Aufspüren und zum Entfernen hält Adobe in seinem Fehlerbericht bereit.

Apropos Updates: Der Sicherheitsdienstleister Secunia berichtet in seinem Blog, dass die neue Version des Adobe Reader 9.3.1 eine seit vier Jahren bekannte Schwachstelle in der Bibliothek libtiff beseitigt. Ein Exploit für die alte Lücke hätte sogar in der Version 9.3.0 funktioniert. Ob es sich bei dem Leck um die nicht näher beschriebene Lücke des letzten Fehlerberichts handelt oder eine heimlich geschlossene, ist unklar.

Quelle : www.heise.de

[SiLæncer]

Sie erscheinen am kommenden Dienstag. Es bestehen kritische Lücken in den Versionen 9.3.1 und 8.2.1 der PDF-Anwendungen unter Windows, Mac OS X und Linux. Zudem führt Adobe im Rahmen seines vierteljährlichen Patchdays eine neue Updatefunktion ein.

Adobe wird am kommenden Dienstag Sicherheitsupdates für Adobe Reader und Acrobat in den Versionen 9.3.1 und 8.2.1 veröffentlichen. Sie stopfen als kritisch eingestufte Lücken unter Windows, Mac OS X und Linux.

Darüber hinaus hat das Unternehmen für seinen vierteljährlichen Patchday eine neue Updatefunktion für Reader und Acrobat angekündigt. Anwender können künftig einstellen, ob Patches automatisch installiert oder nur heruntergeladen werden sollen, um sie zu einem späteren Zeitpunkt manuell einzuspielen. Auf Wunsch lassen sich die automatischen Aktualisierungen auch ausschalten.

"Während des Patchdays am 12. Januar und des außerplanmäßigen Updates am 16. Februar haben wir einen Betatest der Updatefunktion durchgeführt", schreibt Produktmanager Steve Gottwals in einem Blogeintrag. Dabei seien verschiedene Netzwerkkonfigurationen getestet worden. Man habe die Betaphase erfolgreich abgeschlossen und einige Änderungen einbezogen, die sich positiv auf das Nutzererlebnis auswirkten.

Mit der neuen Updatefunktion reagiert das Unternehmen auf eine zunehmende Zahl von Malware-Angriffen auf Adobe Reader, Acrobat und Flash Player. Studien haben gezeigt, dass im Hintergrund durchgeführte Aktualisierungen die beste Methode sind, um eine möglichst große Verbreitung von Sicherheitsupdates zu erreichen. Ähnliche Verfahren setzen beispielsweise Mozilla und Google für ihre Browser Firefox und Chrome ein. Auch Microsoft schließt in der Voreinstellung Sicherheitsanfälligkeiten seiner Produkte ohne weitere Rückfragen beim Nutzer.

Quelle : www.zdnet.de

[SiLæncer]

Sie bestehen in den Versionen 9.3.1, 8.2.1 und früher unter Windows, Mac OS X und Unix. Angreifer können über Speicherfehler und Pufferüberläufe beliebigen Schadcode einschleusen und ausführen. Zudem aktiviert Adobe eine neue Updatefunktion.

Adobe hat wie angekündigt an seinem zweiten Patchday des Jahres 2010 ein Update für Adobe Reader und Acrobat veröffentlicht. Die Version 9.3.2 der PDF-Anwendungen behebt 15 Schwachstellen in Reader 9.3.1 und früheren Versionen unter Windows, Mac OS und Unix sowie Acrobat 9.3.1 und früher unter Windows und Mac OS X. Nutzern von Reader und Acrobat 8.2.1 empfiehlt das Unternehmen ein Update auf die Version 8.2.2.

Einer Sicherheitswarnung zufolge stuft Adobe das Update als kritisch ein. Anwender sollten es so schnell wie möglich über die automatische Updatefunktion oder die Adobe-Website  herunterladen. Die Schwachstellen ermöglichen unter anderem Cross-Site-Scripting (XSS) und Denial-of-Service-Angriffe (DoS). Zudem adressiert das Update mehrere Speicherfehler und Pufferüberläufe, durch die ein Angreifer beliebigen Schadcode einschleusen und ausführen kann.

Darüber hinaus hat Adobe mit dem vierteljährlichen Patchday einen neuen Updater aktiviert. Er wurde im Oktober 2009 ausgeliefert und nach Unternehmensangaben im Januar und Februar getestet. Die neue Funktion ermöglicht es, Updates automatisch im Hintergrund und ohne Interaktion mit einem Nutzer zu installieren. Anwender können den Updater aber auch so konfigurieren, dass Patches nur heruntergeladen werden, um sie zu einem späteren Zeitpunkt manuell einzuspielen. Auf Wunsch lassen sich die automatischen Aktualisierungen auch abschalten.

"Die meisten Nutzer, die bei der Verwendung von Adobe-Produkten einem Sicherheitsproblem ausgesetzt waren, wurden über eine bekannte Schwachstelle angegriffen, die in einer aktuellen Version der Software geschlossen war", schreibt Adobe-Sicherheitschef Brad Arkin ein einem Blogeintrag. Deswegen habe sein Unternehmen viel Zeit in die Entwicklung des neuen Updaters investiert.

Quelle : www.zdnet.de

[SiLæncer]

Mit den neuesten Updates hat Adobe einen Update-Automatismus für Adobe Reader und Acrobat eingeführt. Experten bemängeln, dass diese sinnvolle Funktion per Standard deaktiviert ist.

Kaspersky bemängelt, dass diese Funktion aber nicht per Standard aktiviert ist. Viele Anwender werden somit gar nicht wissen, dass es diesen Updater seit Reader und Acrobat 9.3.1 und 8.2.1 gibt. Dies gilt für Mac- und Windows-Versionen gleichermaßen.
Adobe denke für die Zukunft nach, ein Pop-Up zu zeigen, und die Anwender auf diese Funktion hinzuweisen. Reader und Acrobat stehen gehören zu den Lieblingsprogrammen von Angreifern. Diese Programme werden regelmäßig genutzt, Schadcode auf Rechner zu schleusen. Es ist auch schon ein erster Trojaner aufgetaucht, der exe-Dateien aus PDFs starten kann.

Quelle : www.tecchannel.de

[SiLæncer]

Mehreren Berichten von Antivirenherstellern zufolge versuchen Kriminelle, die seit rund zwei Wochen bekannte und bislang ungepatchte Schwachstelle in Adobes Reader auszunutzen, um Windows-PCs zu infizieren. Unter den Schädlingen findet sich auch der als besonders gefährlich eingestufte Bot ZeuS.

Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Sophos hat ein Beispiel in seinem Blog veröffentlicht. Dabei soll ein Anwender dazu verleitet werden, den OK-Button anzuklicken. Die präparierten Dokumente gelangen offenbar im Anhang einer Mail auf den Rechner.

M86Security berichtet von einem PDF-Dokument, das versucht, den ZeuS-Bot zu installieren. Beim Öffnen versucht das Dokument ein weiteres PDF-Dokument zu speichern, das den eigentlichen Schädling enthält. Die Verschachtelung dient vermutlich dazu, Virenscanner auszutricksen. Interessanterweise öffnet sich beim Reader beim Speichern ein Anwenderdialog, während Foxit die Datei automatisch ohne Nachfrage speichert. Immerhin erscheint dann beim Startversuch des im PDF versteckten Bots auch in der aktuellen Version des Foxit ein Dialog – ältere Versionen führen eingebettete Dateien ohne Warnung aus.

Adobe stuft die Lücke aufgrund des Warndialoges im Reader nicht als kritisch ein. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde. Immerhin warne der Adobe Reader ja, dass man Dateien nur aus vertrauenswürdigen Quellen starten solle. Der Hersteller empfiehlt unter Bearbeiten/Voreinstellungen/Berechtigungen die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" zu deaktivieren – standardmäßig ist sie aktiviert.

Bislang scheinen die Angriffe zwar noch nicht besonders ausgereift. Nach Meinung von Jeremy Conway, der kürzlich eine verfeinerte Version des zuerst von Didier Stevens veröffentlichten Exploits präsentierte, dürfte sich dies bald ändern und überzeugendere Malware auftauchen.

Quelle : www.heise.de

[SiLæncer]

Adobe hat das Update 11.5.7.609 für den Shockwave-Player veröffentlicht, das 18 Sicherheitslücken schließen soll. 17 der Lücken stuft Adobe als kritisch ein, da präparierte Webseiten dadurch Code in ein System schleusen und starten können. Ursache der Probleme sind Buffer und Integer Overflows sowie Speicherfehler in diversen Funktionen zur Verarbeitung von Shockwave-Dateien.

Der Shockwave-Player bietet einen erweiterten Funktionsumfang als der Flash-Player. Typischerweise wird er zur Darstellung komplexerer, interaktiver Präsentationen, Spiele und anderer Anwendungen benutzt und steht wie der Flash-Player als Browser-Plug-in zur Verfügung. Adobes Namensgebung (das Firefox-Plug-in für den Flash-Player heißt unglücklicherweise "Shockwave Flash") führt allgemein zur Verwirrung bei Anwendern. In der Mehrzahl haben Anwender jedoch nur den Flash-Player installiert und sind somit von der Lücke nicht betroffen. Andersherum ist der Flash-Player aber immer im Lieferumfang des Shockwave-Player enthalten. Ob Shockwave installiert ist, kann man online testen: Test Adobe Shockwave Player.

Darüber hinaus stellt Adobe Sicherheits-Fixes für ColdFusion ( 8.0, 8.0.1, 9.0 auf allen unterstützten Betriebssystemen) bereit, die zwei Cross-Site-Scripting-Lücken und ein Datenleck beseitigen sollen.

Quelle und Links : http://www.heise.de/newsticker/meldung/Adobe-Shockwave-Player-Ohne-Updates-offen-wie-ein-Scheunentor-998415.html

[SiLæncer]

Laut Brad Arkin, bei Adobe verantwortlich für Produktsicherheit und Datenschutz, überlegt man derzeit, die Dauer zwischen Sicherheitsupdates für den Adobe Reader von 90 Tagen auf 30 Tage zu verkürzen. Adobe hat Mitte 2009 den Dreimonatszyklus gestartet und veröffentlicht seitdem gleichzeitig mit Microsoft am zweiten Dienstag eines betreffenden Monats Updates für den Adobe Reader und Acrobat.

Angesichts der in letzter Zeit gehäuft auftauchenden Sicherheitslücken erhöhten wichtige Kunden offenbar den Druck auf Adobe, die Sicherheitsflicken in kürzeren Abständen zu veröffentlichen. Arkin bestätigte gegenüber heise Security, dass ein monatlicher Rhythmus eine der momentan diskutierten Alternativen ist. Adobe sei inzwischen außerdem in der Lage, Updates in Notfällen zuverlässig binnen 15 Tagen zu entwickeln und außer der Reihe zu veröffentlichen. Zum Vergleich: Im Frühjahr 2009 benötigten die Adobe-Mannen um Brad Arkin noch 80 Tage, um einen Patch für die JBIG2-Lücke zu entwickeln.

Außerdem will Adobe neben dem Adobe Reader noch weitere Produkte wie Flash und Shockwave mit in den Update-Reigen aufnehmen. Bislang veröffentlicht der Hersteller Patches für die diese Software vollkommen unregelmäßig. Ob außer dem Adobe Reader noch weitere Produkte mit Hilfe des neuen Update-Mechanismus automatisch mit Sicherheitsflicken bedient werden, wurde nicht bekannt.

Brad Arkin hat im Gespräch mit heise Security großes Interesse daran geäußert, die Patches für Adobe-Produkte auch "durch andere Kanäle" auf die PCs der Anwender zu bringen. Zwar nannte Arkin Microsoft Update nicht beim Namen. Er verwies gleichzeitig mit seinem Wunsch nach anderen Kanälen aber darauf, dass Adobe seine Updates bereits mit Hilfe der systemeigenen Mechanismen von Mac OS X und Red-Hat-Linux verteilt.

Microsoft selbst will sich zu einer möglichen Öffnung von Microsoft Update nicht offiziell äußern. Firmenvertreter verwiesen lediglich auf die große Komplexität und die zahlreichen organisatorischen sowie rechtlichen Hürden, die ein solches Unterfangen mit sich brächte. Außerdem scheuen die Redmonder offenbar auch das Risiko, dass ein eventuell verrücktspielendes Update eines so weit verbreiteten Produkts wie den Adobe Reader bedeuten könnte.

Eine gemeinsame Schnittstelle zwischen Adobe und Microsoft gibt es aber doch: Laut Arkin will man bis Ende 2010 soweit sein, um Adobe-Updates per Microsoft System Center Updates Publisher (SCUP) zu verteilen. Hiervon sollen Kunden von Microsoft System Center Configuration Manager (SCCM) und Microsoft System Center Essentials (SCE) profitieren, da sie Updates damit schneller und somit günstiger im Unternehmensnetz installieren können.

Quelle : www.heise.de

[SiLæncer]

Adobe  hat Photoshop CS4 Version 11.0.2 für Windows  und Mac OS X veröffentlicht, um Lücken bei der Verarbeitung von Dateien in den Formaten ASL, ABR und GRD zu schließen. Ein Angreifer könnte durch manipulierte Dateien einen Rechner unter seine Kontrolle zu bekommen. Dazu muss das Opfer die Datei allerdings manuell mit Photoshop öffnen. Photoshop CS5 ist nicht betroffen.

Bei den Lücken handelt es sich allesamt um Buffer Overflows, durch die sich Code einschleusen und starten lässt.

Quelle : www.heise.de

[SiLæncer]

Nach Informationen von Adobe gibt es eine Schwachstelle in Flash Player 10.0.45.2 und früheren Versionen sowie in der mit dem Reader und Acrobat 9.x ausgelieferten Bibliothek authplay.dll. Betroffen sind bei allen Produkten die Versionen für Windows, Mac OS X und Unix-Betriebssysteme inklusive Linux. Angreifer können durch Ausnutzen der Lücke das Programm abstürzen lassen und möglicherweise die Kontrolle über das System erlangen, schreibt Adobe. Es gebe bereits Berichte von Exploits, die alle drei Produkte betreffen.

Der Release-Kandidat des Flash Player 10.1 soll von dem Bug nicht betroffen sein. Nutzern von Reader und Acrobat 9 empfiehlt Adobe, die Datei authplay.dll zu löschen, umzubenennen oder zu verschieben. Allerdings führe das zu einem Programmabsturz beim Öffnen einer PDF-Datei mit Flash-Inhalten. Unter Windows liegt die Datei typischerweise in C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll beziehungsweise C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll.

Reader- und Acrobat-Version 8 sollen von der Schwachstelle nicht betroffen sein.

Quelle : www.heise.de

[SiLæncer]

Adobe hat für den kommenden Donnerstag, den 10. Juni, ein Update für den Flash Player angekündigt. Es soll die am Wochenende gemeldete Lücke in der Bibliothek authplay.dll  schließen. Die Bibliothek ist auch im Reader und Acrobat 9.x enthalten. Betroffen sind bei allen Produkten die Versionen für Windows, Mac OS X und Unix-Betriebssysteme inklusive Linux. Angreifer können durch die Lücke die Kontrolle über das System erlangen. Der Release-Kandidat des Flash Player 10.1 ist nicht betroffen. Die Versionen 8 des Adobe Reader und Acrobat sind ebenfalls nicht verwundbar.

Das Update für den Adobe Reader und Acrobat soll am 29. Juni erscheinen, also zwei Wochen vor dem regulären, alle drei Monate stattfindenden Termin. Dann sollen neben dem Problem in authplay.dll noch weitere, bislang unbekannte Lücken beseitigt sein. Adobe hat sich dafür entschieden, um nicht innerhalb weniger Wochen zwei Updates zu veröffentlichen [–] das bedeute laut Adobe für größere Unternehmen mit Patch-Management zu viel Aufwand.

Bis zum Update empfiehlt Adobe Nutzern von Reader und Acrobat 9, die Datei authplay.dll zu löschen, umzubenennen oder zu verschieben. Allerdings führt das laut Hersteller zu einem Programmabsturz beim Öffnen einer PDF-Datei mit Flash-Inhalten. Unter Windows liegt die Datei typischerweise in C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll beziehungsweise C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll.

Quelle : www.heise.de