DVB-Cube <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 12 Oktober, 2004, 18:35

Titel: Patchday bei Adobe
Beitrag von: SiLæncer am 12 Oktober, 2004, 18:35
Durch eine Sicherheitslücke in Adobes Acrobat und Reader ist es möglich, beliebige lokale Dateien auszulesen und beispielsweise ins Internet zu senden. Jelmer Kuperus, bislang bekannt durch seine Analysen zu Schwachstellen im Internet Explorer, hat ein Demo-PDF auf seinen Seiten veröffentlicht, bei dessen Ansicht mit dem Acrobat 6 und Reader 6 eine lokale Datei ausgelesen und im Internet Explorer angezeigt wird. Durch die Lücke kann ein Angreifer präparierte PDFs auf einem Webserver hinterlegen, um beispielsweise Cookies von den Systemen der Besucher zu kopieren. Allerdings muss der Anwender solch ein Dokument öffnen und der Angreifer muss den Pfad zur auszulesenden Datei kennen.

Ursache der Schwachstelle ist die in Version 6 eingeführte Möglichkeit, Macromedia-Flash-Dateien und Filme (SWF) in PDFs einzubetten. Acrobat und Reader extrahieren die SWF-Datei und legen sie unter einem zufälligen Namen im temporären Verzeichnis des gerade angemeldeten Nutzers ab. Eigentlich sollten Adobes Produkte nur der Zugriff auf diese Datei gewährt sein, stattdessen ist der Lesezugriff auf die gesamte Festplatte möglich. Ein Patch gibt es derzeit nicht.

Quelle : www.heise.de
Titel: Re:Sicherheitslücke in Adobe Reader ermöglicht Zugriff auf lokale Dateien
Beitrag von: Jürgen am 13 Oktober, 2004, 03:36
Das kommt davon, wenn man ein eigentlich ganz sinnvolles Proggie für elektronische Bücher unbedingt zu einem Multimedia-Spektakel aufzublasen versucht. Dies ist auch der Grund, weshalb Besitzer eines etwas langsameren Rechners beim Start des Adobe Readers erst 'mal Kaffee aufsetzen  :(
Aber das kennt man ja schon, A. Prem. braucht sogar so lange, dass der Kaffee dann schon wieder kalt ist...
Wer noch 'ne 5er Version des Acrobat Reader drauf hat, sollte die wohl besser beibehalten.
Titel: Update für Adobe Reader und Acrobat behebt Fehler
Beitrag von: SiLæncer am 04 April, 2005, 11:28
Adobe hat Updates für Adobe Reader und Acrobat unter Windows zur Verfügung gestellt, um zwei kleine Schwachstellen zu beheben. Durch einen Fehler im ActiveX-Control kann ein Angreifer verifizieren, ob bestimmte Dateien auf dem Zielsystem vorhanden sind, indem er die Antworten des Adobe-Web-Controls analysiert. Ein Opfer muss dazu allerdings eine präparierte Web-Seite besuchen. Mit den gesammelten Informationen kann der Angreifer unter Umständen weitere Angriffe vorbereiten. Der Inhalt von Dateien lässt sich so allerdings nicht abfragen.

Zudem bringen präparierte PDF-Dokumente Reader und Acrobat zum Absturz. Betroffen sind alle Versionen des Reader und von Acrobat bis einschließlich 7.0. In 7.0.1 sind die Probleme beseitigt.

Quelle und Links : http://www.heise.de/newsticker/meldung/58205
Titel: Macromedias ColdFusion gewährt Zugriff auf Java-Dateien
Beitrag von: SiLæncer am 08 April, 2005, 19:41
Anwender von ColdFusion MX 6.1 for JRun4 (Updater 1) sollten einen von Macromedia vorgeschlagenen Workaround auf dem Server durchführen. Ohne diesen ist es nämlich für externe Anwender möglich, kompilierte Java-.class-Dateien vom Server herunterzuladen. So lassen sich unter Umständen Informationen über die Arbeitsweise des Servers, seiner Struktur und vertrauliche Informationen ausspähen. Ein Patch zur Beseitigung des Problems soll in der nächsten Updater-Version enthalten sein.

Der Hersteller stuft den Fehler als kritisch ein und empfiehlt dringend die in seiner Anleitung veröffentlichten Änderungen vorzunehmen. ColdFusion 7.0 ist von der Schwachstelle nicht betroffen. Ursache des Problems ist der Updater 1, der bei der Installation vergisst, ein bestimmtes Verzeichnis anzulegen, sodass bei einem Neustart die genannten Dateien im falschen Pfad landen.

Quelle und Links : http://www.heise.de/newsticker/meldung/58372
Titel: Sicherheits-Update für Adobe Reader 7
Beitrag von: SiLæncer am 16 Juni, 2005, 19:10
Adobe hat ein Sicherheits-Update für die Version 7.0.1 seines Readers zum Download bereit gestellt.

Die Updates sollen eine Sicherheitslücke ("XML External Entity vulnerability") schließen, bei der ein Angreifer unter bestimmten Voraussetzungen XML-Skripte dazu nutzen kann, Dateien des PC-Besitzers auf dessen Rechner aufzuspüren. Die Schwachstelle betrifft sowohl die Windows- als auch die Mac-Versionen. Bei Redaktionsschluss war allerdings nur ein Flicken für Windows erhältlich.

Das Adobe Reader 7.0.2-Update ist fünf MB groß und steht unter anderem für den deutschsprachigen Adobe Reader zur Verfügung. Es lässt sich aber nur dann installieren, wenn bereits der Adobe Reader 7.0.1 auf dem PC vorhanden ist. Sollte noch der Adobe Reader 7.0 sein Dasein auf Ihrem Rechner fristen, so müssen Sie zunächst das Adobe Reader 7.0.1-Update installieren und danach das Adobe Reader 7.0.2-Update.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/113995/index.html (http://www.pcwelt.de/news/sicherheit/113995/index.html)
Titel: Sicherheitsloch in Linux-Version des Acrobat Reader
Beitrag von: SiLæncer am 06 Juli, 2005, 11:27
Sicherheitslücke im Acrobat Reader 5.x erlaubt Ausführung von Programmcode

In der Linux-Ausführung vom Acrobat Reader 5.x wurde ein Sicherheitsleck entdeckt, worüber Angreifer beliebigen Programmcode auf einem fremden System ausführen können, sofern das Opfer zum Öffnen eines präparierten PDF-Dokuments gebracht wird. Das betreffende PDF-Dokument kann etwa per E-Mail verbreitet werden oder auf einer Webseite bereitstehen.

Durch einen Buffer Overflow im Acrobat Reader der Versionen 5.0.9 und 5.0.10 für Linux lässt sich Programmcode mit den Rechten des angemeldeten Nutzers ausführen. Darüber kann sich ein Angreifer eine weit reichende Kontrolle über ein fremdes System verschaffen, wenn er seine Opfer dazu bewegt, eine entsprechend modifizierte PDF-Datei mit dem Acrobat Reader zu öffnen.

Während Adobe für Linux und Solaris lediglich rät, auf die Version 7 vom Acrobat Reader zu wechseln, der nun die Bezeichnung Adobe Reader trägt, steht für IBM-AIX sowie HP-UX die aktualisierte Version 5.0.11 der Software zum Download bereit.

Quelle und Links : http://www.golem.de/0507/39059.html
Titel: Adobe-Acrobat und -Reader mit Sicherheitsleck im Plug-In-System
Beitrag von: Jürgen am 17 August, 2005, 17:24
Adobe meldet in einem Security-Advisory Pufferüberlauf-Fehler in seinen Produkten Adobe Acrobat und Adobe Reader, die sich beispielsweise über das Netz in Form von E-Mails mit angehängten, speziell präparierten PDF-Dokumenten ausnutzen lassen. Betroffen sind Adobe Reader und Adobe Acrobat in den Versionen von 6.0 bis 6.0.3 und 7.0 bis 7.0.2. Adobe Acrobat ist zusätzlich in den Versionen von 5.0 bis 5.0.5 und der Reader ebenfalls in Version 5.1 anfällig. Die Fehler sind in der Software auf allen unterstützten Plattformen zu finden.

Die von Adobe nicht näher erläuterte Lücke liegt in einer Kernkomponente, die über das Plug-in-System der Adobe-Software eingebunden ist. Das Ausnutzen des Lecks durch präparierte Dokumente kann zum Absturz der Programme führen, möglicherweise lässt sich darüber aber auch beliebiger Code einschleusen und zur Ausführung bringen.

Adobe rät den Anwendern der Programme, die zur Verfügung stehenden Updates über die in der Software eingebaute Update-Funktion einzuspielen. Auf Linux und Solaris soll die Version 7.0.1 heruntergeladen und installiert werden -- für diese Systeme gab es keine Version 6 der Software. Grundsätzlich empfiehlt Adobe, auf die Programme der 7er-Serie umzuschwenken und damit die Vorgängerversionen zu ersetzen.

Siehe dazu auch:

    * Security Advisory von Adobe

(dmk/c't)
Quelle und Links:
http://www.heise.de/newsticker/meldung/62876

Anmerkung von mir:
PDFs aus nicht völlig vertrauenswürdiger Quelle muss man wirklich nicht mit diesem Reader öffnen, es gibt diverse kostenlose Alternativen, die sicherlich viel seltener angegriffen werden, wenn überhaupt. Hier nutze ich default den Foxit Reader, meist genügt der völlig.
Ein Browser-Plugin nutze ich garnicht, PDFs werden immer heruntergeladen. Und für ausfüllbare Behörden-Formulare oder ähnlich spezielle Dokumente öffne ich manuell im Adobe Reader, wenn nötig.
Das ist sicher auch eine Frage der Startgeschwindigkeit und Komplexität eines solchen Darstellungs-Werkzeug, aus demselben Grunde öffne ich ja auch reine Texte entweder im Notepad oder manchmal im Wordpad, das Warten auf eine grosse Office-Suite oder das ständige Vorgeladenhalten dieser ist mir da viel zu lästig.

Das muss natürlich letzten Endes jeder selbst wissen, aber man sollte sich stets darüber im Klaren sein, dass die verbreiteten Angriffe praktisch immer die fast monopolartige Standard-Software angehen. Die Schädlinge brauchen grundsätzlich eine Art Monokultur, um sich ungehemmt verbreiten zu können, die muss man ihnen ja zumindest als Default-Anwendung nicht bieten.

Mischwälder sind meist viel robuster als Plantagen mit nur einer Sorte...

Jürgen
Titel: Macromedia patcht Lücken in ColdFusion und JRun
Beitrag von: SiLæncer am 19 Dezember, 2005, 11:14
Der Hersteller Macromedia berichtet in drei Security Bulletins über mehrere Sicherheitslücken in ColdFusion und JRun mit der Angreifer Sicherheitsfunktionen der Systeme aushebeln und sogar die Anwendung zum Absturz bringen kann. Unter ColdFusion lässt sich beispielsweise der Passwort-Hash des Administrators auslesen oder die Java Sandbox Security aushebeln. JRun reagiert auf bestimmte URLs mit einem Absturz und zeigt unter bestimmten Umständen den Sourcecode der Applikation an.

Betroffen sind ColdFusion MX 6.0, 6.1 und 7.0 und JRun 4.0. Macromedia stellt Updates zum Schließen der Lücken bereit und empfiehlt allen Anwendern, diese zügig zu installieren.

Siehe dazu auch:

    * Cumulative Security Updater for ColdFusion MX 7, Fehlerreport von Macromedia
    * Sandbox Security and CFMAIL Vulnerability in ColdFusion MX 6.X , Fehlerreport von Macromedia
    * Cumulative Security Updater for JRun 4.0 server, Fehlerreport von Macromedia

Quelle und Links : http://www.heise.de/newsticker/meldung/67517
Titel: Adobe will Patchday einführen
Beitrag von: SiLæncer am 19 Dezember, 2005, 18:50
Adobe macht es Microsoft nach und stellt künftig sicherheitsrelevante Patches monatlich bereit. Ab einem nicht näher genannten Zeitpunkt in den kommenden sechs Monaten will der Grafikspezialist die meisten Produkte regelmäßig mit Updates versorgen.

Microsoft war vor zwei Jahren von unregelmäßigen, je nach Bedarf herausgegebenen Updates auf monatliche Patchdays umgestiegen; auch Oracle setzt auf Regelmäßigkeit im Vierteljahresrhythmus. Durch dieses Verhalten wollen die Hersteller Überraschungen vermeiden und so die Angst vor der ständigen Flickschusterei an der Software abbauen. Das Konzept ist allerdings nicht unumstritten – schließlich sollten kritische Sicherheitslücken möglichst sofort und nicht erst am Monatsanfang morgens um fünf geschlossen werden.

Quelle : www.heise.de
Titel: Sicherheits-Patch für verschiedene Adobe-Applikationen
Beitrag von: SiLæncer am 03 Februar, 2006, 11:48
Sicherheitslücke in Photoshop CS2 und Illustrator CS2

In Photoshop CS2, Illustrator CS2 sowie im Adobe Help Center wurde eine Sicherheitslücke entdeckt, die nun mit einem Patch geschlossen werden kann. Über das Sicherheitsloch können lokale Anwender bei Mehrbenutzersystemen bestimmte Programmdateien der Adobe-Applikationen austauschen und so schadhaften Programmcode einschleusen.

Wie Adobe mitteilt, tritt das Sicherheitsproblem auf, weil einige Programmdateien und Verzeichnisse von Photoshop CS2, Illustrator CS2 und dem Adobe Help Center nicht die richtigen Rechte aufweisen. Ein unbefugter Nutzer könnte diesen Umstand auf Mehrbenutzersystemen dazu missbrauchen, unberechtigt Programmcode einzuschleusen oder Programmteile auszutauschen.

Das Sicherheitsloch betrifft sowohl die Windows- als auch die Mac-Ausführungen von Photoshop CS2, Illustrator CS2 und dem Adobe Help Center. Da diese Komponenten auch Bestandteil der Adobe-Programmsammlung Creative Suite 2 sind, wird speziell dafür ein separater Patch angeboten, der das Sicherheitsloch schließt.

Adobe bietet den Sicherheits-Patch für Photoshop CS2, Illustrator CS2, das Adobe Help Center und die Adobe Creative Suite 2 sowohl für die Windows- als auch die Mac-Version zum Download an.

http://www.adobe.com/support/downloads/new.jsp (http://www.adobe.com/support/downloads/new.jsp)

Quelle : www.golem.de
Titel: Macromedia schließt Schwachstelle im Shockwave-Installer
Beitrag von: SiLæncer am 24 Februar, 2006, 10:56
Der nun zu Adobe gehörende Hersteller Macromedia hat eine kritische Lücke im Shockwave Player beseitigt, mit der Angreifer Schadcode in einen Windows-PC einbringen und ausführen konnten. Diesmal geht der (Patch-)Kelch laut Hersteller allerdings am Anwender vorbei, da sich die Lücke nur während der Online-Installation des Players auftut. Ist der Player also bereits installiert, lässt sich die Lücke nicht mehr ausnutzen. Wer sich einen neuen Player installiert, bekommt von Macromedia bereits die fehlerbereinigte Version serviert.

Ursache des Problems war ein Buffer Overflow im ActiveX-Installer-Control des Players in den Versionen 10.1.0.11 und vorhergehenden. Für einen erfolgreichen Angriff musste eine präparierte Seite zur Installation des Players auffordern und gleichzeitig versuchen, im kurzzeitig nutzbaren ActiveX-Control einen Pufferüberlauf zu provozieren.

Siehe dazu auch:

    * Improper Memory Access Vulnerability in Shockwave Player ActiveX installer, Fehlerreport von Macromedia
    * Adobe Macromedia ShockWave Code Execution, Fehlerreport der Zero Day Initiative

Quelle und Links : http://www.heise.de/security/news/meldung/70031
Titel: Adobe schließt kritische Lücke im Flash-Player
Beitrag von: SiLæncer am 15 März, 2006, 11:55
Adobe warnt vor einer kritsichen Lücke im Flash-PLayer, die dazu führen kann, dass ein Angreifer Kontrolle über ein System erlangt. Für das Ausnützen dieser Schwachstelle genügt es, dass ein Anwender eine Web-Seite mit einer eingebetteten Flash-Animation in einem Browser mit Flash-Plugin öffnet. Der Angreifer kann dann eigenen Code mit den Rechten des angemeldeten Benutzers ausführen. Betroffen sind die Flash-Versionen bis 8.0.22.0, ein Update auf 8.0.24.0 beziehungsweise 7.0.63.0 schließt die Lücke. Auch für Shockwave stellt Adobe eine fehlerbereinigte Version 10.1.1 bereit. Ob außer Windows auch Linux- beziehungsweise Solaris-Systeme betroffen sind, geht nicht eindeutig aus der Warnung hervor; jedenfalls gibt es auch für diese Plattformen aktualisierte Pakete.

Das Sicherheitsloch wurde von Microsoft entdeckt; die Redmonder warnen sogar in einem eigenen Advisory und beschreiben dort auch alternative Schutzmaßnahmen für den Internet Explorer, die bis zur Deinstallation des Plug-ins reichen. Konkrete Informationen darüber, was den Fehler eigentlich verursacht, stellen jedoch weder Microsoft noch Adobe bereit. Trotzdem ist damit zu rechnen, dass sehr bald erste Exploits auftauchen, die die Schwachstelle ausnutzen, sodass ein zügiges Update anzuraten ist.

Siehe dazu auch:

    * APSB06-03 Flash Player Update to Address Security Vulnerabilities von Adobe
    * Security Advisory (916208) von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/70857
Titel: Nebenwirkungen beim Update des Flash-Players
Beitrag von: SiLæncer am 17 März, 2006, 11:15
Das kürzlich erschienene Update für Adobes Flash-Player hat unerwünschte Nebenwirkungen: Eingeschränkte Nutzer bekommen nach dem Update im Internet Explorer keine Flash-Animationen mehr zu sehen. Ein Workaround ist jedoch verfügbar.

Wer auf seinem System den empfohlenen Verfahrensweisen gemäß mit eingeschränktem Benutzerkonto arbeitet und nach dem Sicherheitsupdate anstatt der Flash-Filmchen nur noch Platzhalter mit roten Kreuzen im Internet Explorer präsentiert bekommt, kann dem Problem mit einem beherzten Eingriff in die Registry abhelfen. Der Registry-Key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ muss für den Benutzer Jeder die Berechtigung Lesen erteilt bekommen.

Vor diesem Eingriff sollte allerdings ein Backup aller wichtigen Daten angefertigt werden, da der manuelle Eingriff in die Registry riskant ist und man aus Versehen wichtige Schlüssel so manipulieren kann, dass das System beschädigt wird. Eine Antwort, ob Adobe ein weiteres Update herausgeben wird, das diese Rechte-Änderung berücksichtigt, steht noch aus.

Quelle : www.heise.de
Titel: Update für Adobe Reader stopft Sicherheitslöcher
Beitrag von: SiLæncer am 17 Juni, 2006, 11:50
Adobe stellt die Version 7.08 des Adobe Readers für Windows und Mac OS X bereit. Als einzige neue Funktion nennt der Hersteller die Kontext-Suche mittels Y!Q von Yahoo. Sonst behebt die neue Version nur eine Reihe von Fehlern, die den Reader zum Absturz bringen können und Sicherheitslücken darstellen. Einen nicht näher genannten dieser Fehler stuft Adobe unter Mac OS X als kritisch ein.

Der Adobe Reader 7.08 ist bereits in die 15 unterstützen Sprachen übersetzt, darunter Deutsch. Adobe bietet einen Download des ganzen Pakets sowie Update-Versionen für Windows und Mac OS X an.

Quelle und Links : http://www.heise.de/newsticker/meldung/74372
Titel: Flash-Player spielt Schadcode ab
Beitrag von: SiLæncer am 07 Juli, 2006, 13:08
Zwei Sicherheitslücken hat der Sicherheitsdienstleister Fortinet in Adobes Flash-Playern entdeckt. Eine Lücke, die den Flash-Player 8.0.24 und vorherige betrifft, kann zu einem Denial-of-Service führen. Beim Verarbeiten präparierter Shockwave-Dateien stürzt das Plugin ab und zieht den Browser mit. Nur Version 8.0.24 enthält einen Fehler, durch den manipulierte swf-Dateien sogar Schadcode einschleusen könnten.

Details zu den Lücken nennt Fortinet nicht. Der Flash-Player liegt inzwischen in Version 9.0.16 vor. Anwender sollten die neue Version zügig installieren.

Siehe dazu auch:

    * Vulnerability in Macromedia Flash Player Could Allow Remote Code Execution, Sicherheitsmeldung von Fortinet
    * Denial of Service Vulnerability in Macromedia Flash Player, Sicherheitsmeldung von Fortinet
    * Download und Installation des aktuellen Flash-Players

Quelle und Links : http://www.heise.de/security/news/meldung/75188
Titel: Adobe schließt Lücken in Acrobat
Beitrag von: SiLæncer am 12 Juli, 2006, 11:31
Manchmal muss man schon etwas Fantasie haben, um sich ein Angriffsszenario zu einer bekannten Sicherheitslücke vorzustellen. So auch bei der neuesten Lücke in Adobe Acrobat. Nach Angaben des Herstellers tritt beim Umwandeln (Distilling) präparierter Dateien ins PDF-Format ein Buffer Overflow auf, über den sich Code auf den Stack schreiben und mit den Rechten des Anwenders starten lässt. Ein Angreifer müsste dazu allerdings sein Opfer davon überzeugen, die präparierte Datei umzuwandeln, wofür entweder einiges an Überredungskunst notwendig ist oder ein Vertrauensverhältnis bestehen muss.

Betroffen sind die Acrobat-Versionen 6.0 bis einschließlich 6.0.4 für Windows und Mac. In Version 6.0.5 ist der Fehler beseitigt. Der Hersteller stuft das Update als kritisch ein, das bereits über die automatische Aktualisierung verteilt wird.

Zusätzlich ist in diesem Release eine Lücke in der Mac-Version gestopft, über die es eingeschränkten Anwendern möglich war, an höhere Zugriffsrechte zu gelangen. Ursache des Problems waren falsch gesetzte Rechte von Verzeichnissen und Daeien bei der Installation. Gleiches galt für die Mac-Ausgabe des Adobe Readers vor Version 6.0.5.

Siehe dazu auch:

    * File Permissions Vulnerability in Adobe Reader and Adobe Acrobat (Mac OS), Fehlerbericht von Adobe
    * Buffer Overflow Vulnerability in Adobe Acrobat, Fehlerbericht von Adobe

Quelle und Links : http://www.heise.de/security/news/meldung/75362
Titel: Flash-Player spielt beliebigen Programmcode ab
Beitrag von: SiLæncer am 13 September, 2006, 09:37
Adobe schließt mit neuen Versionen der Flash-Player-Software mehrere Sicherheitslücken. Angreifer können beliebigen Code mit präparierten Flash-Dateien beispielsweise auf Webseiten oder in E-Mails auf betroffene Rechner einschleusen.

In der Sicherheitsmeldung geht Adobe nicht auf die Details der Lücken ein, sondern erklärt nur, dass Eingaben nicht korrekt geprüft würden und so eingeschleuster Code ausgeführt werden könne. Die Updates schließen ebenfalls ein Lücke, die es Flash-Dateien ermöglicht, die allowScriptAccess-Option zu umgehen. Updates für den Flash-Player 7 und 8 sind auch für Linux und Solaris erhältlich, sie enthalten auch Bugfixes für ältere Schwachstellen.

Das von Adobe bevorzugte Update ist der Wechsel auf den Flash-Player 9.0.16.0. Das Unternehmen stellt mit den Versionen 8.0.33.0, 7.0.68.0 und 7.0.66.0 jedoch auch Updates für ältere Versionen bereit, falls es nicht möglich ist, auf die 9er-Version umzusteigen. Da die Fehler sämtliche Plattformen betreffen, auf denen der Flash-Player verfügbar ist, sollten Administratoren die Player-Version auf allen Systemen überprüfen und gegebenenfalls aktualisieren.

Siehe dazu auch:

    * Multiple Vulnerabilities in Adobe Flash Player 8.0.24.0 and Earlier Versions, Sicherheitsmeldung von Adobe
    * Download der aktuellen Flash-Player-Software

Quelle und Links : http://www.heise.de/security/news/meldung/78102
Titel: PDF-Dokumente als Angriffsvektor
Beitrag von: SiLæncer am 18 September, 2006, 19:12
Dass PDF-Dokumente auch JavaScripte enthalten können, ist eigentlich ein alter Hut, schließlich unterstützen Adobe Reader und Adobe Acrobat dies zur besseren Nutzerinteraktion schon seit Version 4. Dennoch zeigen sich immer noch viele Anwender von der Dynamik so mancher PDF-Dateien beim Öffnen überrascht. Bislang galten nämlich hauptsächlich Office-Dokumente mit Makros als potenziell gefährlich. Gerade mit JavaScript lässt sich aber ebenfalls viel Schindluder treiben, wie der britische Sicherheitsspezialist David Kierznowski in seinem Blog feststellt.

Kierznowski erläutert darin zwei mögliche indirekte Angriffe auf Anwender mittels präparierter PDF-Dokumente. Dazu stellt er auch zwei Demo-Dokumente zum Download zur Verfügung. Das erste öffnet nach dem Laden ohne Zutun des Anwenders ein Fenster im präferierten Browser. Unter Umständen ließen sich Anwender so auf Webseiten leiten, die etwa eine Lücke im jeweiligen Browser ausnutzen, um weiteren Schadcode in das System zu schleusen und Trojaner zu installieren.

Kierznowski bietet noch ein weiteres Demo-Dokument an, das veranschaulichen soll, wie es in Acrobat per Adobe Database Connectivity ohne Nachfrage eine Verbindung zu einer Datenbank aufbaut und Daten abfragt. Zwar kratzen beide Beispiele nur die Oberfläche dessen an, welche Angriffe denkbar sind, sie demonstrieren aber das Potenzial. Kierznowski ist sich sicher, dass Adobes JavaScript-Version ausreichend Möglichkeiten bietet, um ein System zu kompromittieren. Ihm selbst fehle dafür aber die nötige Kreativität. Über den bekannten Sprachumfang von JavaScript 1.5 hinaus stellt Adobes JavaScript-Derivat weitere Möglichkeiten und Funktionen zur Verfügung.

Anwender sollten überdenken, ob sie in Zukunft PDF-Dateien noch so sorglos wie früher öffnen sollten. Allerdings ist Abhilfe schon zur Stelle: Unter Bearbeiten/Grundeinstellungen lässt sich JavaScript einfach deaktivieren. Leider belästigen Adobe Reader und Acrobat den Anwender beim Öffnen der Demo-Dokumente dennoch weiterhin mit Fragen, ob JavaScript ausgeführt oder eine externe Webseite geöffnet werden soll. Zumindest als Alternative für den Adobe Reader bietet sich der schnelle und schlanke Foxit-Reader an. Der unterstützt zwar ab Version 2.0 ebenfalls JavaScript, allerdings muss dazu ein Plug-in explizit nachgeladen und installiert werden.

JavaScript in Adobe-Produkten führte bereits in der Vergangenheit zu Sicherheitsproblemen. So ließen sich etwa in den Plug-ins-Ordner weitere schädliche Plug-ins schleusen und beim nächsten Start laden. In der Mac-Version des Reader und Acrobat ließen sich per Skript sogar weitere Programme aufrufen.

Siehe dazu auch:

    * Backdooring PDF Files, Blogeintrag von David Kierznowski


Quelle und Links : http://www.heise.de/security/news/meldung/78338
Titel: Adobe beseitigt Schwachstellen in mehreren Produkten
Beitrag von: SiLæncer am 11 Oktober, 2006, 11:06
Adobe hat Updates für mehrere seiner Produkte veröffentlicht, die Sicherheitslücken schließen sollen. So findet sich in ColdFusion ein Fehler, über den Anwender mit eingeschränkten Zugriffsrechten eigenen Code mit Systemrechten ausführen können. Ursache des Problems sind laut Hersteller mehrere "Input Validation Errors", also wahrscheinlich Buffer Overflows, in einem von einem Dritthersteller mitgelieferten Client für die Softwarebibliothek  Verity Library. Betroffen sind ColdFusion MX 7, ColdFusion MX 7.0.1 und ColdFusion MX 7.0.2 jeweils auf Windows, Linux und Solaris. Als Alternative zum Patch schlägt Adobe vor, die Bibliothek einfach zu deaktivieren.

Außerdem behebt ein Update für Breeze 5.0 Licensed Server und Breeze 5.1 Licensed Server eine Schwachstelle, durch die Anwender beliebige Dateien auf dem Laufwerk ausspähen konnten, auf dem Breeze installiert ist. Schließlich sorgt ein Patch für den Contribute Publishing Server dafür, dass bei der Installation das Administratorpasswort nicht mehr in den Logs erscheint und sich so nicht mehr ausspähen lässt.

Siehe dazu auch:

    * Patch available for ColdFusion MX 7 local privilege escalation Fehlerbericht von Adobe
    * Patch available for Breeze 5 Licensed Server Information Disclosure Fehlerbericht von Adobe
    * Workaround available for Contribute Publishing Server local information disclosure Fehlerbericht von Adobe

Quelle und Links : http://www.heise.de/security/news/meldung/79291
Titel: Adobe bestätigt Sicherheitslücke im Flash Player
Beitrag von: SiLæncer am 19 Oktober, 2006, 14:07
Im Flash Player von Adobe können Angreifer mit präparierten Flash-Dateien auf Webseiten http-Header manipulieren sowie http-Request-Splitting-Angriffe ausführen. Damit können sie Internet-Anwendungen lahm legen oder Befehle in diese einschmuggeln, erläutert Adobe in einer Bestätigung der Sicherheitsmeldung von Rapid7.

Betroffen sind Adobe Flash Player in den Versionen 9.x, 8.x, and 7.x auf allen Plattformen. Die Flash Player 6 und älter sowie die aktuelle Beta der 9er-Version enthalten den Fehler nicht. Laut Fehlermeldung arbeitet Adobe bereits an einer Lösung. Bis dahin sollten Anwender entweder das Flash-Plug-in auf die aktuelle Beta-Version aktualisieren, es deinstallieren oder nur vertrauenswürdigen Seiten die Nutzung von Flash gestatten.

Siehe dazu auch:

    * HTTP Header Injection Vulnerabilities in the Flash Player Plugin, Sicherheitsmeldung von Rapid7
    * HTTP header injection vulnerabilities in Adobe Flash Player, Fehlermeldung von Adobe
    * Download der aktuellen Beta-Versionen von Adobes Flash Player

Quelle und Links : http://www.heise.de/security/news/meldung/79732
Titel: Re: Adobe bestätigt Sicherheitslücke im Flash Player
Beitrag von: Jürgen am 20 Oktober, 2006, 00:47
Höchste Zeit für einen Flash-Blocker...

Mittlerweile stösst man auf Seiten (und sogar Popups), die eine ganze Schar von Flash-Elementen gleichzeitig starten.

Bei'm Surfen auf fremdem Terrain brauche ich den animierten Quatsch ohnehin meist nicht, die paar Seiten, wo's nötig oder sinnvoll ist, brauchen dann eben 'mal einen Klick mehr.
Titel: Re: Adobe bestätigt Sicherheitslücke im Flash Player
Beitrag von: SiLæncer am 20 Oktober, 2006, 00:49
http://www.dvbcube.org/index.php?topic=15846.0 ;D
Titel: Flash-Player-Update stopft Sicherheitslücke
Beitrag von: SiLæncer am 19 November, 2006, 14:57
Mit einem Silent Update auf Version 9.0.28.0 behob Hersteller Adobe (ehemals Macromedia) bereits am 14. November einen Fehler, der Angreifer mit präparierten Flash-Dateien auf Webseiten http-Header manipulieren sowie http-Request-Splitting-Angriffe ausführen ließ. Nach Installation des Updates können Cracker über diese Lücke nicht länger Internet-Anwendungen lahm legen oder Befehle in diese einschmuggeln.

Welche Version des Flash-Players installiert ist, ermittelt eine Info-Seite. Hinweise zum Thema Flash-Sicherheit gibt Adobe auf einer FAQ-Seite.

Quelle und Links : http://www.heise.de/security/news/meldung/81265
Titel: ActiveX-Control von Adobe Acrobat und Reader ermöglicht Systemübernahme
Beitrag von: SiLæncer am 29 November, 2006, 11:26
Ein ActiveX-Modul zu Adobes Reader und Acrobat enthält mehrere Sicherheitslücken, durch die Angreifer mit manipulierten Webseiten die Kontrolle über betroffene Rechner übernehmen können. Der Hersteller arbeitet jedoch erst an einem Update.

Die vom Sicherheitsdienstleister FrSIRT entdeckten Lücken betreffen das ActiveX-Modul AcroPDF.dll. Fehlerhaft formatierte Argumente für die Funktionen src(), setPageMode(), setLayoutMode(), setNamedDest() und LoadFile() können zu Speicherkorruptionen und in der Folge zur Ausführung von eingeschmuggelten Programmen führen.

Adobe hat mit einer eigenen Fehlermeldung auf die Sicherheitsmeldung des FrSIRT reagiert und schlägt darin vor, die betroffene ActiveX-Komponente vorerst komplett zu löschen. Dazu sollen Administratoren den Internet Explorer sowie Adobe Acrobat beziehungsweise den Adobe Reader beenden und anschließend die Datei <Laufwerk>:\<Programmpfad>\Adobe\Acrobat 7.0\ActiveX\AcroPDF.dll löschen. Dem FrSIRT zufolge genügt jedoch, das Killbit für das Modul mit der ClassID {CA8A9780-280D-11CF-A24D-444553540000} in der Registry zu setzen.

Siehe dazu auch:

    * Adobe Reader and Acrobat ActiveX Control Remote Code Execution Vulnerabilities, Sicherheitsmeldung vom FrSIRT
    * Potential vulnerabilities in Adobe Reader and Acrobat, Fehlermeldung von Adobe

Quelle und Links : http://www.heise.de/security/news/meldung/81711
Titel: Loch in Adobes Download Manager ermöglicht Virenbefall
Beitrag von: SiLæncer am 06 Dezember, 2006, 10:41
Der Sicherheitsdienstleister eEye weist in einem Fehlerbericht auf eine Lücke in Adobes Download Manager (AOM) hin, über die präparierte Webseiten Besucher beispielsweise mit Schädlingen infizieren können. Der AOM soll beim Download und der Installation von Adobe-Software helfen und wird beispielsweise bei der Installation des kostenlosen Adobe Readers benutzt. In der kleinen Setup-Datei des Readers befindet sich eigentlich nur ein AOM, der die Programmdateien des Reader von Adobes Server nachlädt und installiert.

(http://www.heise.de/bilder/82093/0/0)
Adobes Download Manager ist Bestandteil der Setup-Datei des kostenlosen Adobe Readers

Kern des Problems ist ein Buffer Overflow im Download Manager, der beim Einlesen manipulierter AOM-Dateien beziehungsweise Konfigurationsdateien auftritt. Nach der Installation sind AOM-Dateien automatisch mit dem Manager verknüpft, sodass laut Fehlerbericht etwa beim Besuch einer Webseite mit dem Internet Explorer keine Nutzerinteraktion notwendig ist, um eine derartige Datei automatisch zu öffnen, wenn der Server als Content-Type application/aom sendet.

Betroffen sind die Versionen 2.1.x und vorhergehende. Adobe hat Version 2.2 für Windows und Mac herausgegeben, in der der Fehler beseitigt ist. Sofern die Installation der neuen Version nicht möglich ist, empfiehlt eEye, den Download Manager über Einstellungen/Systemeigenschaften/Software zu deinstallieren oder wenigstens die AOM-Verknüpfung zu löschen (Windows Explorer/Ordneroptionen/Dateitypen). Derzeit gibt es noch keine Meldungen über öffentliche Exploits oder Seiten, die die Lücke ausnutzen.
Anzeige

Siehe dazu auch:

    * Update available for buffer overflow in Adobe Download Manager, Fehlerbericht von Adobe
    * Adobe Download Manager AOM Stack Buffer Overflow Vulnerability, Fehlerbericht von eEye

Quelle und Links : http://www.heise.de/security/news/meldung/82093
Titel: Lücken im Adobes Reader-Plug-in
Beitrag von: SiLæncer am 04 Januar, 2007, 11:17
Ein Ende November 2006 veröffentlichter kritischer Fehler in einem ActiveX-Control in Adobes Reader 7 hat zumindest Anwendern des Internet Explorer einen wichtigen Grund für ein Upgrade auf Reader Version 8 geliefert. Nun gibt es auch für Firefox-Anwender drei Gründe, auf die aktuelle Version zu wechseln.

Ingesamt vier Schwachstellen haben die Sicherheitsspezialisten Giorgio Fedon und Elia Florio im Browser-Plug-in des Acrobat Reader 7 ausgemacht, mit denen sich Code ausführen und der Browser zum Absturz bringen lassen soll. Zudem steckt im Plug-in eine Lücke, mit der Angreifer Cross-Site-Scripting-Angriffe (XSS) durchführen können. Dies ist deshalb bemerkenswert, weil bei der klassischen XSS-Attacke eine Schwachstelle in einer Webseite ausgenutzt wird. Im vorliegenden Fall genügt es, an eine beliebige URL JavaScript anzuhängen:

http://vertrauenswürdiger-server/file.pdf#FDF=javascript:alert('Test Alert')

Beim Aufruf des Links wird sowohl das PDF-Dokument gestartet als auch der JavaScript-Code im Kontext des vertrauenswürdigen Servers ausgeführt. Ein Angreifer könnte so beispielsweise auf dem PC gespeicherte Anmelde-Cookies dieser Seite kopieren und für eigene Zugriff missbrauchen. Symantec zufolge könnte das Problem eine größere XSS-Angriffswelle auf Nutzer auslösen, weil der Adobe Reader fast flächendeckend eingesetzt wird. Im Fehlerbericht sind weitere Beispiele für mögliche Angriffe aufgeführt.

Außerdem berichten Fedon und Florio von einer Sessions-Riding-Schwachstelle, mit der Angreifer durch Anhängen einer URL mit Parametern an einen Link eine Anfrage an eine weitere Seite ohne Nachfrage beim Nutzer auslösen können:

http://site.com/file.pdf#FDF=http://target/index.html?param=...

Denkbar wäre, dass der Anwender beim Klick auf den Link damit auf dem Zielserver eine bestimmte Aktion auslöst und so etwa ungewollt Daten löscht.

Zum Einschleusen von Schadcode schreiben die Autoren in ihrem Fehlerbericht nur wenig: Durch zu lange Argumente lassen sich Teile des Structural Exception Handler auf dem Stack überschreiben und so im Firefox möglicherweise Code ausführen. Fedon und Florio wollen zwar einen Proof-of-Concept-Exploit entwickelt haben, ihn aber nicht veröffentlichen. Schlußendlich stolpert des Plug-in für den Internet Explorer über zu viele angefügte Hashes (#) in einer URL: Der Reader wartet auf weitere Daten und belegt dabei sehr viel Speicher. In der Folge bleibt der Internet Explorer stehen.

Betroffen ist das Reader-Plug-in, wie es in Versionen des Adobe Reader 7.x enthalten ist. Die Fehler wurden mit Firefox 1.5.0.x, 2.x unter Windows XP SP2 und Ubuntu 6.06 getestet.

Siehe dazu auch:

    * Adobe Acrobat Reader Plugin – Multiple Vulnerabilities, Fehlerbericht von Stefano Di Paola

Quelle und Links : http://www.heise.de/security/news/meldung/83169
Titel: Designfehler im PDF-Format gefährdet PC-Sicherheit
Beitrag von: SiLæncer am 08 Januar, 2007, 10:37
Die Initiatoren des Month of Apple Bugs schweifen mit ihrem sechsten Bug etwas ab: Durch einen Designfehler im PDF-Format können präparierte Dokumente zum Absturz einer PDF-Anwendung oder zur Infektion eines Systems mit Schädlingen führen. Laut Fehlerbericht hänge dies von der jeweiligen Anwendung und des Betriebssystems ab, auf dem sie läuft. Betroffen seien die Preview.app 3.0.8 (409) unter Apple Mac OS X, Adobe Acrobat Reader 5.0 bis 7.0 auf allen Plattformen sowie xpdf 3.0.1 (patch 2) und die darauf beruhenden Anwendungen gv, kpdf, poppler et cetera. Auch der mittlerweile populäre Foxit-Reader hat mit dem veröffentlichten Demo-PDF seine Probleme: Er stürzte im Test der heise-Security-Redaktion ohne Fehlermeldung ab. Weitere Anwendungen sind wahrscheinlich ebenfalls betroffen.

Die Ursache der Schwachstellen ist laut LKM, einem der Initiatoren des MOAB, in der Spezifikation des PDF-Formats in Version 1.3 zu finden. So sind im "Catalog Dictionary" die Objekte und Daten eines Dokumentes definiert und wie es gerendert werden soll. Die Spezifikation sehe aber laut LKM nicht vor, wie ein Dokument auf fehlerhafte Referenzen reagieren soll, im Gegenteil, es werde angenommen, dass die Referenzen immer richtig seien. Ein fehlerhafter Eintrag wird also in der Regel nicht abgefangen, die Folge sind Speicherverletzungen (Null Pointer Dereferences, Buffer Overflows und so weiter) und Memory Leaks, die zum Absturz führen oder sogar das Einschleusen und Ausführen von Code ermöglichen.

Als Workaround empfiehlt LKM, Browser-Plug-ins zu deaktivieren oder auf Adobe Acrobat Reader 8.0.0 zu wechseln. Dort soll der Fehler nicht mehr enthalten sein. Der Wechsel auf Adobes aktuelle Reader-Version ist spätestens seit Bekanntwerden der vier Lücken im Reader-Plug-in vergangene Woche wärmstens zu empfehlen. Weil der Hersteller die Lücken selbst für kritisch hält, hat er sogar Patches für die Version 7.x angekündigt, da einige Anwender nicht in der Lage seien, auf Version 8 umzustellen.

Zwischenzeitlich hat sich sogar herausgestellt, dass die XSS-Lücken im Plug-in noch viel mehr Potenzial zum Ausspionieren eines PC haben, als nur zum Cookie-Klau. Indem eine präparierte URL auf ein lokal abgelegtes PDF-Dokument verlinkt, läuft auch der an die URL angehängte JavaScript-Code lokal und hat so Zugriff auf lokale Ressourcen. Für einen erfolgreichen Angriff ist zwar die Kenntnis des Ortes eines abgelegten PDF-Dokumentes notwending, allerdings bringt Adobe Reader selbst schon ein Dokument im PDF-Format mit, dessen Pfad immer der gleiche ist.

Siehe dazu auch:

    * Multiple Vendor PDF Document Catalog Handling Vulnerability, Fehlerbericht von MOAB
    * Universal PDF XSS After Party, Fehlerbericht auf GNUCitizien


Quelle und Links : http://www.heise.de/security/news/meldung/83317
Titel: Adobe Reader 7.0.9 schließt Sicherheitslücken
Beitrag von: SiLæncer am 10 Januar, 2007, 10:57
Adobe hat veröffentlichte Sicherheitslücken im Reader der Version 7 bislang nicht geschlossen, sondern Anwendern den Umstieg auf Version 8 geraten – dort sind die Fehler nicht vorhanden. Allerdings können zahlreiche Anwender etwa aus Kompatibilitätsgründen nicht auf diese Version aktualisieren, weshalb Adobe jetzt die Version 7.0.9 zum Download bereitstellt.

Neben den bereits veröffentlichten Sicherheitslücken in den Browser-Plugins, durch die arglistige Individuen mit manipulierten E-Mails oder Webseiten unter anderem Cross-Site-Scripting- oder Denial-of-Service-Angriffe gegen Anwender ausführen konnten, schließt die Version auch eine bislang unbekannte Lücke, die Piotr Bania jetzt öffentlich gemacht hat. Mit präparierten PDF-Dokumenten können Angreifer unter Windows und Linux im Reader 7.0.8 und früheren Versionen Schadcode einschleusen und anspringen.

Einen Demonstrations-Exploit stellt Bania nicht bereit, da er die Lücke für zu gravierend hält. Nutzer des Adobe Readers oder von Adobe Acrobat, die bislang nicht auf Version 8 der Software umsteigen konnten, sollten baldmöglichst das Update auf die Version 7.0.9 vornehmen.

Siehe dazu auch:

    * Adobe Reader Remote Heap Memory Corruption - Subroutine Pointer Overwrite, Sicherheitsmeldung von Piotr Bania
    * Download der Version 7.0.9 des Readers
    * Update available for vulnerabilities in versions 7.0.8 and earlier of Adobe Reader and Acrobat, Sicherheitsmeldung von Adobe


Quelle und Links : http://www.heise.de/security/news/meldung/83468
Titel: ColdFusion MX 7 gibt Daten preis
Beitrag von: SiLæncer am 10 Januar, 2007, 12:04
Ein Hotfix von Adobe soll verhindern, dass ColdFusion MX 7 auf dem Internet Information Server (IIS) weiterhin geschützte Daten preisgeben kann. Laut iDefense gibt es ein Problem beim Auswerten von URLs, die etwa kodierte NULL-Bytes und eine mit ColdFusion verknüpfte Dateiendung enthalten. Damit soll es möglich sein, Einblick in beliebige andere Dateien zu erhalten, auf die der Webserver Zugriff hat, um so weitere Informationen für Angriffe zu sammeln. Unter Umständen ließen sich sogar Passwörter für Log-ins et cetera ausspähen.

Der Fehler wurde in Version 7.0.2 entdeckt, laut Hersteller sind aber auch Version 7 und 7.0.1 verwundbar. Das Problem tritt aber nur im Zusammenhang mit Microsofts IIS zu Tage. Der Hotfix behebt die Lücke, Einzelheiten dazu sind dem Fehlebericht zu entnehmen. Anwender der Version 7 müssen laut Hersteller aber vor der Installation auf 7.0.1 upgraden. Adobe empfiehlt dringend, auf Produktivsystemen vorher ein Backup anzulegen.

Siehe dazu auch:

    * Adobe Macromedia ColdFusion Source Code Disclosure Vulnerability, Fehlerbericht von iDefense
    * Patch available for ColdFusion MX 7 information disclosure issue, Fehlerbericht von Adobe


Quelle und Links : http://www.heise.de/security/news/meldung/83478
Titel: Malware: Falscher Flash-Player-Download
Beitrag von: SiLæncer am 25 Juni, 2007, 17:25
Eine Website, die einen Bezug zu dem Online-Spiel RuneScape enthält, lockt Besucher auf eine nachgeahmte Download-Seite für den Flash-Player. Statt eines Flash-Updates erhalten die Besucher jedoch ein Trojanisches Pferd.

Wenn Sie auf einer Website aufgefordert werden, ein Update für ein Browser-Plug-in zu installieren, sollten Sie sorgfältig darauf achten, wohin sie ein zu diesem Zweck angebotener Link führt. Dies illustriert einmal mehr eine Meldung des Internet Storm Centers. Der Antivirus-Hersteller Trend Micro warnt im Blog seiner Virenforscher vor der selben Falle.

Auf einer Website, die sich vorgeblich mit dem Online-Spiel "RuneScape" beschäftigt, werden den Besuchern zunächst einige Platzhalter für nicht geladene Bilder angezeigt. Eine vorgetäuschte Problemdiagnose liefert den Hinweis, ein Update des Flash-Players sei erforderlich, um alle Inhalte anzuzeigen. Der Link zum Herunterladen dieses Updates führt auf eine Nachahmung der Download-Seite von Adobes Shockwave-Player.
Die Seite wirkt täuschend echt, ist jedoch an ihrer URL leicht als illegitim zu erkennen. Ein Javascript-Schnipsel versucht zudem dem Besucher den Blick auf den Quelltext der Seite zu verwehren. Dazu sperrt es die Funktionalität der rechten Maustaste, die sonst ein Kontextmenü öffnet. Der HTML-Quelltext ist allerdings weiterhin über die Menüleiste des Browsers aufrufbar.

Ein Klick auf den Download-Button befördert statt des in Aussicht gestellten Players ein Trojanisches Pferd auf die Festplatte, das von Trend Micro als "TROJ_DROPPER.HRZ" erkannt wird. Auch wenn diese Falle für aufmerksame Web-Nutzer recht leicht zu erkennen ist, dürften doch etliche darauf herein gefallen sein.

Quelle : www.pcwelt.de
Titel: Updates für Adobe Flash Player und Photoshop
Beitrag von: SiLæncer am 11 Juli, 2007, 10:00
Der Hersteller Adobe hat für seine Produkte Flash Player und Photoshop CS2/CS3 Softwareaktualisierungen bereitgestellt. Sie schließen Sicherheitslücken, die Angreifer etwa mit präparierten Webseiten oder Dateianhängen an E-Mails ausnutzen können, um Schadcode einzuschleusen.

Im Flash Player 9.0.45.0 und vorherigen Versionen kann eine fehlende Eingabeprüfung zur Ausführung eingeschleusten Codes führen. Eine mangelhafte Überprüfung von http-Referern in Flash Player 8.0.34.0 und älteren Fassungen vereinfacht Cross-Site-Scripting. In Version 7.0.70.0 der Software für Linux und Solaris gibt es ein Sicherheitsproblem im Zusammenspiel mit Opera und Konqueror, das Adobe aber nicht näher erläutert. Adobe empfiehlt Nutzern der Software, auf die Version 9.0.47.0 zu aktualisieren, stellt aber auch Patches für weitere Versionen bereit.

Die Updates für Photoshop CS2 und CS3 beheben die von Marsu Ende April entdeckten Schwachstellen bei der Verarbeitung von manipulierten Bilddateien in den Formaten BMP, DIB, RLE und PNG, die Angreifern ebenfalls das Einschmuggeln beliebigen Programmcodes ermöglichen. Dazu muss der Anwender jedoch präparierte Bilder, etwa aus E-Mail-Dateianhängen, mit Photoshop öffnen. Die Patches für Windows und Mac OS X verlinkt Adobe in der Sicherheitsmeldung. Der Hersteller empfiehlt, das Update zügig einzuspielen.

Quelle : www.heise.de
Titel: Möglicherweise kritische Lücke im Adobe Reader
Beitrag von: SiLæncer am 21 September, 2007, 10:00
Petko Petkov (pdp) hat eigenen Angaben zufolge eine kritische Sicherheitslücke im Adobe Reader entdeckt, durch die Angreifer ein System kompromittieren können. Dazu genüge das Öffnen manipulierter PDF-Dokumente. Nähere Details oder eine Demonstration der Schwachstelle bleibt der Security-Blogger jedoch schuldig.

Petkov hat in der Vergangenheit bereits Details zu Schwachstellen etwa in Firefox mit installiertem QuickTime-Plugin, im Second-Life-Client oder im JavaScript-Debugger Firebug veröffentlicht. Die Fehler in Firefox beziehungsweise QuickTime und in Firebug haben die Software-Entwickler bestätigt und behoben. Daher kann man davon ausgehen, dass Petkovs Meldung der PDF-Lücke Substanz hat, auch wenn nähere Informationen gänzlich fehlen. In den Kommentaren zu dem Blog-Eintrag liefert Petkov inzwischen ein Video nach, in dem zu sehen ist, wie nach dem Öffnen eines PDF-Dokuments der Windows-Taschenrechner gestartet wird. Petkov zufolge habe Adobe die Lücke inzwischen bestätigt.

Petkov rät dazu, nicht vertrauenswürdige PDF-Dateien bis zur Verfügbarkeit eines Updates nicht zu öffnen. Der Fehler soll neben Adobe Reader 7.0, 8.0 und 8.1 unter Windows XP mit Service Pack 2 und installiertem Internet Explorer 7 auch alternative PDF-Reader wie FoxIt betreffen, daher sei auch deren Nutzung keine Alternative. Unter Windows Vista solle der Fehler allerdings nicht auftreten.

Siehe dazu auch:

    * 0day: PDF pwns Windows, Fehlermeldung von Petko Petkov (pdp)
    * 0day: PDF pwns Windows, Sicherheitsmeldung von pdp auf der Mailingliste Full Disclosure
    * Video auf YouTube von pdp, das die Lücke demonstrieren soll

Quelle und Links : http://www.heise.de/security/news/meldung/96319/Moeglicherweise-kritische-Luecke-im-Adobe-Reader
Titel: Warnung vor ungepatchten Sicherheitslücken in Flash-Applets
Beitrag von: SiLæncer am 23 Dezember, 2007, 17:17
Security-Experten von Google warnen vor gefährlichen Sicherheitslücken in Flash-Applets. Im Rahmen einer Untersuchung entdeckten sie zusammen mit Mitarbeitern der Security-Firma iSEC nach eigenen Angaben auf öffentlichen Webseiten sage und schreibe mehr als 500.000 Flash-Dateien, die anfällig für bestimmte Cross-Site-Scripting-Attacken (XSS) sind. Gegen die entdeckten Gefahren biete auch das jüngste Sicherheits-Update von Adobes Flash-Player keinen Schutz, erklärten die Forscher. Derlei Flash-Dateien fanden sie unter anderem auf Regierungs- und Online-Banking-Websites.

Details veröffentlicht die Gruppe in ihrem Buch "Hacking Exposed Web 2.0", das im Januar 2008 in den USA erscheinen wird. Der alarmierende Inhalt kursiert dem britischen IT-Newsdienst The Register zufolge allerdings längst in den Sicherheitsabteilungen von Unternehmen. Adobe sei bereits im Sommer 2007 über die Rechercheergebnisse informiert worden.

Die Autoren weisen darauf hin, dass Security-Patches für den Flash-Client keine Lösung für die Probleme bringen können: Der Schadcode werde von vielen gängigen Flash-Tools bereits beim Erstellen generiert, darunter DreamWeaver, Connect, Breeze und Camtasia. Er ermögliche, dass beim Ausführen von SWF-Dateien über einen manipulierten Link mit bestimmten Variablen beispielsweise entfernte Cookies ausgelesen oder Logindaten ausgespäht werden können.

Quelle : www.heise.de
Titel: Adobe-Produkte kommunizieren über dubiose Web-Adresse
Beitrag von: SiLæncer am 03 Januar, 2008, 19:07
Das Grafik- und Bildbearbeitungspaket Creative Suite 3 von Adobe kommuniziert in ausgesuchten Fällen mit der Adresse 192.168.112.2O7.net. Laut einem Blog-Eintrag des Photoshop-Produkt-Managers John Nack werden im Zuge einer Nutzungsstatistik drei Typen von Anfragen protokolliert: News-Meldungen, welche die Creative Suite in Form von Flash-Dateien in den Startbildschirm einzelner Anwendungen lädt, Informationen von Adobe, die in der Bridge-Implementierung des Web-Browsers Opera erscheinen, und Anfragen, die Anwender über Online-Hilfe und Nutzerforen stellen.

Dass Software-Produkte gerne nach Hause telefonieren, um anonyme Nutzungsstatistiken zu übermitteln, ist mittlerweile bekannt. In diesem Fall erregt die Zieladresse besonderes Aufsehen. Bei genauem Hinsehen stellt sich nämlich heraus, dass es sich am Ende nicht um die Zahl 207, sondern um den von Zahlen eingerahmten Buchstaben O handelt. Was also auf den ersten Blick wie eine für lokale Netzwerke reservierte IP-Adresse aussieht, entpuppt sich als eine Subdomain der URL 2o7.net, hinter der die öffentliche IP-Adresse 216.52.17.207 steckt. Die Adresse 192.168.112.2O7.net war bereits 2001 dem Spyware-Warrior aufgefallen. Sie gehört dem US-amerikanischen Unternehmen Omniture, das unter anderem für Adobe Nutzerstatistiken erstellt.

Sowohl Adobe als auch Omniture bleiben eine Erklärung schuldig, warum sie das Versteckspiel mit der angeblich lokalen IP-Adresse treiben. Lokale Firewalls lassen sich damit nicht austricksen; die melden, dass ein Adobe-Programm auf das Internet zugreifen möchte. Eine Whois-Anfrage an einen Server der American Registry for Internet Numbers (ARIN) wurde damit beantwortet, dass es sich bei der eingegebenen Domain um eine IP-Adresse eines reservierten Bereichs handele. Offenbar hat der Parser des Servers die dubiose Adresse fälschlicherweise als IP-Adresse interpretiert. Omniture möchte anscheinend unentdeckt bleiben, um möglichst viele Nutzerstatistiken sammeln zu können. Denn wer damit nicht einverstanden ist, muss erstmal den relevanten Adressteil 2o7.net entschlüsseln und in den Browser eingeben, um auf der dortigen Seite den Opt-Out-Button zu finden, der den Rechner von den Nutzungsstatistiken ausnimmt.

Quelle : http://www.heise.de/newsticker/meldung/101258
Titel: Details zu Sicherheitslücken in Flash-Applets
Beitrag von: SiLæncer am 04 Januar, 2008, 10:49
Zu den Ende des vergangenen Jahres gemeldeten Sicherheitsproblemen aufgrund von Cross-Site-Scripting-Schwachstellen in Flash-Applets gibt es nun genauere Informationen. Offenbar lassen sich Fehler in verbreiteten Flash-Authoring-Tools ausnutzen, um Anwendern präparierten JavaScript-Code unterzuschieben und im Browser des Anwenders auszuführen. Angreifer können dadurch beispielsweise Cookies und Passwörter auslesen oder im Kontext der aufgerufenen Seite Aktionen durchführen, etwa Einträge in Blogs platzieren und Kommentare abgeben.

Zu den Tools gehören laut Bericht Adobe Dreamweaver, Adobe Acrobat Connect ehemals Macromedia Breeze, InfoSoft FusionCharts und Techsmith Camtasia. Die damit generierten SWF-Dateien seien auf zahlreichen Webseiten zu finden. Schätzungsweise mehrere hunderttausend Flash-Applets würden das Problem aufweisen, dabei sei ein nicht unerheblicher Prozentsatz großer, beliebter Webseiten betroffen – darunter auch Regierungs- und Online-Banking-Websites.

Das Problem ist laut Bericht aber nicht auf die genannten Tools begrenzt, dies seien nur diejenigen Produkte, bei denen der Hersteller den Fehler bereits mit einem Update korrigiert haben. Betroffen seien zudem Dienstleister wie Autodemo, die für Kunden Flash-Anwendungen entwickeln und dabei offenbar ein verwundbares Tool einsetzen.

Das eigentliche Problem beruht laut Bericht auf der Einbettung fehlerhaften ActionScript-Codes in SWF-Dateien, mit denen sich bestimmte Funktionen steuern lassen. Dieser immer gleiche Code wird jedesmal bei Speichern oder Exportieren in eine SWF-Datei eingefügt. Der ActionScript-Code lässt sich missbrauchen, um ein als Argument übergebenes JavaScript im Sicherheitskontext der besuchten Seite auszuführen, obwohl der JavaScript-Code gar nicht von dort stammt, sondern von der Seite eines Angreifers. Dazu ist es aber notwendig, einen präparierten Link anzuklicken. Ein Link zum Ausnutzen einer XSS-Schwachstelle im Dreamweaver sieht beispielsweise so aus:

http://www.example.com/main.swf?baseurl=asfunction:getURL,javascript:alert(1)//
Ein Fehler in InfoSofts FusionCharts ermöglichte über folgenden Link sogar das Nachladen weiterer SWF-Dateien aus anderen Domains.

http://www.example.com/Example.swf?debugMode=1&dataURL=%27%3E%3Cimg+src%3D%22http%3A//cannings.org/DoKnowEvil.swf%3F.jpg%22%3E
Die im Dezember erschienene aktualisierte Fassung des Adobe Flash Players verhindert zumindest bei den Adobe-Produkten, dass Angreifer die Fehler über den asfunction-Protokoll-Handler ausnutzen können. Webmastern empfiehlt der Autor des Fehlerberichts, die verwundbaren Flash-Applets von den Seiten zu entfernen und mit fehlerbereinigten Versionen der Authoring-Tools neu zu erstellen. Zudem sollte man die an ActionScript übergebenen Nutzer-definierte Variablen bei allen URL-Funktionen genauer überprüfen. Mit dem Tool SWFIntruder können Entwickler zudem die Sicherheit ihrer Flash-Anwendungen testen.

Quelle : www.heise.de
Titel: Rätselraten um Update für Adobes Reader
Beitrag von: SiLæncer am 08 Februar, 2008, 11:50
Adobe hat in seinen Release Notes zwar noch lapidar auf Schwachstellen hingewiesen, die mit Version 8.1.2 des Adobe Reader geschlossen wurden, allerdings versäumt darauf hinzuweisen, wie kritisch diese sind. Allgemein wurde diese Vorgehensweise in der Security Community eher als "Silent Fixing" verstanden, also einer restriktiven Informationspolitik, um die wahren Ausmaße unter Verschluss zu halten. Dies hat einigen Unmut unter Sicherheitsspezialisten verursacht. Mittlerweile hat Adobe ein Security Advisory nachgereicht, das auf einige kritische Lücken hinweist, die Hintergründe jedoch weiter unterschlagen.

Offenbar handelt es sich um relativ kritische Lücken, für die auch schon Exploits verfügbar sind. So hat der Sicherheitsdienstleister Immunity seiner zahlenden Kundschaft in den letzten zwei Tagen zwei Exploits zugänglich gemacht. Einer davon ist nur als "PoC for Adobe Acrobat Reader (<8.1.2) buffer overflow" beschrieben, der andere als "Fully working exploit for Adobe Acrobat Reader (<8.1.2) Javascript Stack Overflow". Wenigstens einer der beiden soll sich eignen, ein System zu kompromittieren. Bislang unbestätigten Meldungen zufolge sollen präparierte Webseiten eine der Lücken bereits aktiv zur Infektion von PCs ausnutzen.

Auf der Sicherheitsmailing-Liste gab es zudem einen kurzen Fehlerbericht, dass ein Angreifer über eine weitere Lücke die Kontrolle über einen Drucker erlangen könnte. Ob Spammer dies bereits als neuen Verbreitungsweg ihrer unerwünschten Werbebotschaften erkannt haben, ist unbekannt. Anwender sollten auf die aktuelle Version 8.1.2 wechseln, die für Windows 2000 Service Pack 4, Windows XP Service Pack 2, Windows 2003 Server, Windows Vista und Mac OS X zum Download bereit steht.

Siehe dazu auch:

    * Security update available for Adobe Reader and Acrobat 8, Fehlerbericht von Adobe

Quelle : http://www.heise.de/security/Raetselraten-um-Update-fuer-Adobes-Reader--/news/meldung/103184
Titel: Trojanische Mail-Anhänge: PDF-Exploit geht um
Beitrag von: SiLæncer am 11 Februar, 2008, 19:45
Offenbar bereits seit einigen Wochen werden Mails Spam-artig verbreitet, die im Anhang speziell präparierte PDF-Dateien enthalten. Diese sollen eine erst kürzlich von Adobe gestopfte Schwachstelle im Adobe Reader ausnutzen.

Ende letzter Woche hat Adobe die neue Version 8.1.2 seines kostenlosen PDF-Readers bereit gestellt. Wie inzwischen bekannt geworden ist, werden bereits seit etwa 20. Januar Spam-Mails verschickt, die präparierte PDF-Dateien enthalten. Auch Werbebanner auf Web-Seiten streuen solche PDF-Dateien. Diese sollen eine der von Adobe geschlossenen, aber nicht erwähnten Sicherheitslücken ausnutzen. Wie das Internet Storm Center berichtet, schleusen diese Dateien im Erfolgsfall ein Trojanisches Pferd ein.

Die zuerst am 20. Januar in einem italienischen Web-Forum gemeldeten Exploit-Dateien sind so präpariert, dass sie einen Pufferüberlauf im Adobe Reader (bis Version 8.1.1) provozieren und ein Trojanisches Pferd aus der Familie "Zonebac" installieren. Auch ältere Versionen, etwa 7.x, des Adobe Readers sind anfällig. Der Zonebac-Schädling versucht Antivirus-Programme zu deaktivieren und manipuliert Suchergebnisse und Werbebanner.
Am Freitag, den 8.Februar, hat das zu Verizon gehörende Sicherheitsunternehmen iDefense drei Sicherheitsmitteilungen veröffentlicht, aus denen etwas mehr zu den von Adobe gestopften Sicherheitslücken zu erfahren ist. Demnach sind die Schwachstellen bereit im Herbst 2007 von iDefense entdeckt worden. Sie betreffen den Umgang des Adobe Readers mit Javascript-Anweisungen und dessen Nutzung von Programmbibliotheken zur Verschlüsselung und Signaturüberprüfung.

Die ersten der präparierten PDF-Dateien stammten von einem Server in den Niederlanden, der mittlerweile nicht mehr erreichbar ist. Antivirus-Hersteller haben seit der ISC-Meldung von Samstag die Erkennung der bekannten PDF-Dateien in ihren Produkten verbessert.

Quelle : www.pcwelt.de
Titel: Webseiten infizieren PCs über Lücken in Adobes Reader
Beitrag von: SiLæncer am 12 Februar, 2008, 12:42
Die Hersteller von Antivirensoftware weisen auf präparierte PDF-Dokumente hin, durch die Angreifer den PC eines Opfers mit Schädlingen infizieren können. Dazu genügt es, ein Dokument auf einer Webseite etwa mit dem Internet Explorer oder Firefox zu öffnen. Die Dokumente nutzen dabei Sicherheitslücken im Adobe Reader, Adobe Acrobat Professional, 3D und Standard vor den Versionen 8.1.2 aus. Auch die Version 7 ist betroffen, hier gibt es derzeit noch kein Update.

Bereits vergangene Woche gab es Gerüchte, dass erste Webseiten versuchen würden, die PCs von Besuchern zu infizieren. Unklar war zu diesem Zeitpunkt, über welche Lücken dies geschehen sollte, da der Hersteller keine Informationen über die Schwachstellen veröffentlichte und erst Tage nach Herausgabe der korrigierten Fassung 8.1.2 eine Warnung über kritische Lücken nachschob.

Mittlerweile liegen genauere Informationen unabhängiger Dienstleister wie iDefense und Tipping Point vor. Deren Berichten zufolge beruhen die Probleme unter anderem auf der fehlerhaften Implementierung von JavaScript im EScript-Plug-in des Readers. Durch eine unsichere Methode ist der Low-Level-Zugriff auf Objekte möglich, wodurch sich Schadcode ausführen lässt. Abhilfe schafft es, JavaScript in den Produkten zu deaktivieren. Das soll laut iDefense auch vor mehreren Buffer Overflows in anderen JavaScript-Methoden schützen, durch die es ebenfalls möglich ist, Schadcode auf einem System auszuführen. Über die genaue Zahl der Pufferüberlaufe macht iDefense keine Angaben, die Exploits sollen aber genau diese Fehler ausnutzen. Adobe wurde bereits im Oktober über die Lücken informiert.

Zudem gibt es eine Schwachstelle im Reader beim Laden der "Security Provider"-Bibliothek für Kryptographie. Offenbar überprüft der Reader die Pfade nicht richtig und lädt beliebige Dateien, die den Namen der Bibliothek tragen aus dem aktuellen Verzeichnis. Sofern ein Angreifer das Verzeichnis unter seiner Kontrolle hat, etwa auf einem SMB- oder WebDAV-Server, kann er seinem Opfer Schadcode unterjubeln.

Die ersten präparierten PDF-Dokumente sollen schon am 19. Januar in einem italienischen Forum aufgetaucht sein. Beim Öffnen des Dokumentes lud ein eingebettetes Skript eine Variante des Zonebac-Trojaners von einer IP-Adresse in den Niederlanden nach. Zudem sollen präparierte Banner versucht haben, die PDF-Dateien an Anwender zu verteilen. Der Trojaner soll mit den Servern doginhispen.com und skitodayplease.com Kontakt aufnehmen.

Die Erkennungsrate der präparierten Dokumente durch Virenscanner ist derzeit noch ziemlich bescheiden. Bei zwei von drei heise Security vorliegenden Exemplaren erkannten gerade einmal F-Secure, McAfee, Microsoft, Norman und Symantec den unter anderem W32.Pidief genannten Exploit. Anwender sollten so schnell wie möglich auf die Version 8.1.2 von Adobe Reader oder Adobe Acrobat wechseln.

Quelle : www.heise.de
Titel: Kritische Lücke in Linux-Version des Flash-Players
Beitrag von: SiLæncer am 18 Dezember, 2008, 11:46
 Adobe weist auf eine kritische Schwachstelle im Adobe Flash Player für Linux hin. Die Versionen für Windows und Mac sind nicht von dem Problem betroffen. Über präparierte SWF-Dateien ist es Angreifern nach Angaben des Herstellers möglich, ein Linux-System unter ihre Kontrolle zu bringen. Vermutlich muss das Opfer dazu allerdings mit Root-Rechten arbeiten. Nähere Angaben zur Ursache des Problems macht Adobe nicht.

Betroffen sind die Linux-Versionen 10.0.12.36 und vorherige sowie 9.0.151.0 und vorherige. Adobe empfiehlt Anwendern, auf die korrigierte Version 10.0.15.3 zu wechseln. Für Anwender, die nicht auf Version 10 wechseln können, steht das Update 9.0.152.0 zur Verfügung. Auf einigen Systemen läuft die Version 10 nämlich nach Angaben von Adobe aus technischen Gründen nicht. Ursprünglich hatte Adobe geplant, die 9er-Serie nicht weiter zu unterstützen. In beiden Fällen ist unter Linux in der Regel der manuelle Download und die manuelle Installation notwendig.

Siehe dazu auch:

    * Security update available for Linux Flash Player 10.0.12.36 and Linux Flash Player 9.0.151.0, Fehlerbericht von Adobe

Quelle : http://www.heise.de/newsticker/Kritische-Luecke-in-Linux-Version-des-Flash-Players--/meldung/120638
Titel: Zero-Day-Lücke in Adobe Reader und Acrobat
Beitrag von: SiLæncer am 20 Februar, 2009, 11:03
Adobe warnt vor einer kritischen Lücke in Adobe Reader und Acrobat für alle Betriebssysteme, die sich ausnutzen lässt, um einen Rechner mit Schädlingen zu infizieren. Einen Patch oder ein Update zum Schließen der Lücke in den 9er-Versionen plant der Hersteller nach eigenen Angaben allerdings erst für den 11. März zu veröffentlichen, obwohl Angreifer den Fehler bereits aktiv ausnutzen. Updates für die Version 7 und Version 8 sollen dann etwas später folgen.

Für einen erfolgreichen Angriff muss das Opfer aber eine präparierte PDF-Datei öffnen. Nach Angaben der Shadowserver Foundation, einem Zusammenschluss mehrerer Sicherheitsspezialisten, die Botnetze, Malware und Phishing-Aktivitäten beobachten, soll aber das Abschalten von JavaScript in Adobe Reader oder Acrobat verhindern, dass sich die Lücke ausnutzen lässt. Dazu muss man unter Bearbeiten/Grundeinstellungen/Javacript das Häkchen von der Option "Acrobat JavaScript aktivieren" entfernen.

Einige Hersteller von Antivirensoftware erkennen den Zero-Day-Adobe-Exploit schon als Trojan.Pidief und blockieren ihn. Symantec hat offenbar bereits seit dem 12. Februar eine Signatur zum Schutz vor dem Exploit, stuft die Bedrohung aber als niedrig ein. Der Exploit soll aktuell auch nur in gezielten Attacken zum Einsatz kommen. Das ändert sich aber Erfahrungsgemäß recht schnell, sodass vermutlich bald präparierte PDF-Dokumente auf Webseiten auftauchen dürften.

Worauf die Lücke genau beruht, ist nicht bekannt. Nach Angaben der Spezialisten von Shadowserver nutzt der Exploit Heap Spraying, um zunächst den Schadcode im Speicher zu verteilen und später anspringen zu können. Da er dafür JavaScript verwendet, hilft als Workaround das Abschalten von JavaScript.

Siehe dazu auch:

    * When PDFs Attack - Acrobat [Reader 0-Day On the Loose], Bericht von Shadowserver
    * overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat, Warnung von Adobe

Quelle : http://www.heise.de/newsticker/Zero-Day-Luecke-in-Adobe-Reader-und-Acrobat--/meldung/133225
Titel: Adobe stopft Flash-Lücke, PDF-Loch weiterhin offen
Beitrag von: SiLæncer am 25 Februar, 2009, 10:55
Adobe warnt vor einer kritischen Lücke im Flash Player. Über sie könnte beispielsweise eine manipulierte Web-Seite den Rechner mit Schadsoftware infizieren. Betroffen sind die bislang aktuellen Versionen Adobe Flash Player 10.0.12.36 und frühere. Auch die Linux-Version (aktuell 10.0.15.3) ist anfällig.

Der Hersteller stellt Updates bereit, deren Installation beim routinemäßigen Update-Check des Flash-Player auch vorgeschlagen wird. Dummerweise findet der standardmäßig nur alle 30 Tage statt -- und so lange werden sich die kriminellen Banden kaum Zeit lassen. Deshalb sollte man das Update auf Adobe Flash Player Version 10.0.22.87 möglichst bald manuell durchführen. Anschließend kann man im Settings Manager das Check-Intervall auf das aktuelle Minimum von 7 Tagen einstellen. Denjenigen, die noch nicht auf Version 10 können, bietet Adobe auch ein Update zur Vorgängerversion 9 an.

Für das letzte Woche bekanntgewordene Sicherheitsproblem in Adobe Reader und Acrobat, gibt es keine Neuigkeiten. Auf den Adobe-Seiten steht weiterhin als Termin für einen Patch der 11. März. Dabei wird die Sicherheitslücke bereits aktiv ausgenutzt; amerikanische Medien zitieren den Hersteller von Intrusion Detection Systemen Sourcefire damit, er habe passenden PDF-Exploit-Code gefunden, der auf den 9. Januar datiert ist.

Überhaupt glänzt Adobe nicht gerade durch schnelle Reaktionen auf Sicherheitsprobleme. iDefense hat nach eigenen Angaben die Flash-Lücke bereits August 2008 an Adobe gemeldet. Außerdem fallen Adobe-Produkte in letzter Zeit gehäuft als potentielles Sicherheitsrisiko auf. Da die bislang bekannten PDF-Exploits auf eingebettetes JavaScript setzen, sollten Anwender bis Adobe einen Patch liefert, vorbeugend in den Adobe-Reader-Einstellungen "Adobe JavaScript" ausschalten.

Update:
Der Sicherheitsdienstleister Secunia weist darauf hin, dass sich die Lücke auch ohne JavaScript ausnutzen lässt. Den Secunia-Experten sei es sogar gelungen, einen voll funktionsfähigen Exploit zuschreiben, der ganz ohne JavaScript auskommt. Damit bleibt zum Schutz eigentlich nur noch der Umstieg auf alternative PDF-Reader. [2. Update Die können zwar grundsätzlich auch verwundbar sein, es ist jedoch recht unwahrscheinlich, dass die verbreiteten Exploits dort mehr als einen Absturz verursachen. Wer ganz auf Nummer sicher gehen will, sollte auf die Nutzung von PDF-Dateien aus externen Quellen vorerst verzichten und PDF-Erweiterungen im Browser deaktivieren.]

Siehe dazu auch

    * Flash Player update available to address security vulnerabilities (http://www.adobe.com/support/security/bulletins/apsb09-01.html)
    * Adobe Flash Player Invalid Object Reference Vulnerability (http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=773)

Quelle : www.heise.de
Titel: Sicherheits-Updates für Foxit-Reader
Beitrag von: SiLæncer am 09 März, 2009, 16:24
Neue Versionen des PDF-Reader Foxit beheben drei Sicherheitslücken. Eine davon beruht auf einem Buffer Overflow und lässt sich zum Einschleusen und Ausführen von Code missbrauchen. Dazu genügt es, dass ein Opfer ein präpariertes PDF-Dokument mit einer verwundbaren Foxit-Version öffnet. Der Fehler ist in der Version 3 zu finden und beruht auf der Verarbeitung von zu langen Dateinamen als Argument.

Außerdem führt die Verarbeitung manipulierter JBIG2-Kompressionstabellen dazu, dass für Zeiger Werte aus nichtinitalisiertem Speicher geladen werden, was sich möglicherweise ebenfalls zum Ausführen von Schadcode ausnutzen lässt. Betroffen sind die Versionen 2.3 und 3.0.

Zudem verhindern präparierte PDF-Dokumente, dass Warndialoge bei bestimmten Aktionen erscheinen. In Foxit 3.0 Build 1506 und 2.3 Build 3902 (http://www.foxitsoftware.com/downloads/) sind die Fehler nicht mehr zu finden.

Für den Adobe Reader und Acrobat soll erst am kommenden Mittwoch ein Sicherheits-Update erscheinen, das eine seit dem 12. Januar bekannte Schwachstelle ausnutzt.

Quelle : www.heise.de
Titel: Adobe schließt ernste Sicherheitslücke
Beitrag von: SiLæncer am 11 März, 2009, 09:24
Adobe hat für den weit verbreiteten Adobe Reader ein Update bereit gestellt. Adobe Reader 9.1 ist das lange erwartete Sicherheits-Update, das eine ernste Sicherheitslücke schließen soll.

Im Adobe Reader wurde im Februar 2009 eine Schwachstelle entdeckt, die bereits für gezielte Angriffe ausgenutzt wird. Durch die Lücke kann eingeschleuster Code zur Ausführung gelangen, durch den ein Angreifer die Kontrolle über das System erlangen kann. Betroffen sind alle Versionen von Adobe Reader und Acrobat, einschließlich der aktuellen Versionen 9.0 und 8.1.3. Das fast 28 MB große Update sollte also schleunigst aufgespielt werden.

Diese Lücke hat Adobe für die aktuelle Reader-Generation mit dem Adobe Reader 9.1 jetzt geschlossen. Für ältere Versionen von Adobe Reader ( 7 und 8 ) sollen am 18. März Updates folgen. Adobe empfiehlt allerdings ohnehin allen Anwendern auf Adobe Reader 9xx umzusteigen. Gleichzeitig schloss Adobe auch die entsprechende Sicherheitslücke in Adobe Acrobat 9, wie man dem Sicherheits-Bulletin entnehmen kann.

Adobe Reader 9.1 steht derzeit nur für Windows und MacOS zum Download bereit, Linux-Anwender müssen sich noch etwas gedulden, Adobe will die Version 9.1 am 25. März für Linuxsysteme herausbringen.

Quelle und Links : http://www.pcwelt.de/start/sicherheit/sicherheitsluecken/news/195070/adobe_schliesst_ernste_sicherheitsluecke/
Titel: Sicherheits-Update - Adobe Reader 8.1.4/7.1.1 erhältlich
Beitrag von: SiLæncer am 19 März, 2009, 17:06
Adobe hat wie angekündigt eine Woche nach dem Adobe Reader 9.1 auch für die älteren Versionen 8.x/7.x Sicherheits-Updates bereit gestellt. Sie beseitigen eine als kritisch eingestufte Schwachstelle, die bereits für Angriffe ausgenutzt wird.

Im Februar wurde bekannt, dass in allen Version von Adobe Reader und Acrobat eine Sicherheitslücke steckt, die von Angreifern bereits aktiv ausgenutzt wird. Am 11. März hat Adobe die Schwachstelle im Adobe Reader 9 beseitigt und die Version 9.1 bereit gestellt. Eine Woche später stehen nun auch korrigierte Fassungen der älteren Produktgenerationen 8.x/7.x zur Verfügung. Wer Adobe Reader 9.1 nicht einsetzen kann oder will, kann jetzt auf die Version 8.1.4 oder 7.1.1 ausweichen.

Zusammen mit den neuen Programmversionen hat Adobe auch jeweils ein Security Bulletin veröffentlicht. Im Bulletin APSB09-03 geht es um Adobe Reader 9, im Bulletin APSB09-04 um die Versionen 7 und 8. Beide betreffen die gleiche Schwachstelle, die es einem Angreifer ermöglicht mit speziell präparierten PDF-Dateien ein Trojanisches Pferd einzuschleusen.

Adobe hatte zunächst empfohlen, Anwender sollten Javascript im Reader deaktivieren, um sich vor solchen Angriffen zu schützen. Sicherheitsforscher haben inzwischen jedoch gezeigt, dass sich die Sicherheitslücke auch ohne Javascript ausnutzen lässt. Die bislang im Feld beobachteten Angriffe verwenden allerdings Javascript.

Adobe Reader und Acrobat 8.1.4 sowie 7.1.1 für Windows und Mac OS X sollen ab sofort zum Download bereit stehen. Für Unix hat Adobe die Verfügbarkeit der Versionen 9.1 sowie 8.1.4 für den 24. März angekündigt.

Quelle und Links : http://www.pcwelt.de/start/sicherheit/sicherheitsluecken/news/195478/adobe_reader_814_711_erhaeltlich/
Titel: F-Secure rät Anwendern vom Adobe Reader ab
Beitrag von: SiLæncer am 22 April, 2009, 13:22
Im Rahmen der RSA-Sicherheitskonferenz, die momentan in San Francisco stattfindet, haben die Sicherheitsexperten von F-Secure von der Nutzung des Adobe Reader abgeraten. Anwender sollten stattdessen auf alternative PDF-Reader setzen.

Wie Mikko Hypponen, Chief Research Officer bei F-Secure gestern erklärte, ist der Adobe Reader allein in diesem Jahr das Opfer von mehr als 47 Prozent aller zielgerichteten Angriffe aus dem Internet gewesen. Diese würden bislang ungepatchte Schwachstellen in der Software ausnutzen, so Hypponen.

Gefahren für die Anwender gehen dem Sicherheitsexperten zufolge nicht nur von mit Schadcode versehenen PDF-Dateien aus, sondern auch von dem PDF-Browser-Plug-in. Dieses würde immer häufiger für sogenannte "Drive-by-Downloads" missbraucht, bei denen Schadcode unbemerkt auf den Rechner heruntergeladen wird, während man im Internet surft.

Während F-Secure in der Zeit vom 1. bis 16. April 2008 etwa 128 entsprechend präparierte PDF-Dateien für ausfindig gemacht hat, liegt die Zahl der verseuchten Dateien in diesem Jahr bereits bei mehr als 2.300 Stück. Dem Software-Hersteller selbst rät Hypponen, die Sicherheit der Nutzer ernster zu nehmen.

Dabei erklärte er, dass sich Adobe eine Scheibe von den Entwicklern bei Microsoft abschneiden könnte, die mit ihren monatlichen Patch-Days regelmäßig Sicherheitslücken in ihren Produkten schließen. Eine Produktempfehlung als Alternative zum Adobe Reader wollte Hypponen nicht nennen.

http://winfuture.de
Titel: Demo-Exploits für neue Schwachstellen im Adobe Reader
Beitrag von: SiLæncer am 28 April, 2009, 19:35
Im Internet zirkulieren Demo-Exploits für zwei neue Sicherheitslücken im Adobe Reader. Laut der SecurityFocus-Fehlerdatenbank sind Versionen 9.1 und 8.1.4 des PDF-Anzeigers betroffen. Einen Patch für die Schwachstellen gibt es bislang noch nicht. Mit der Veröffentlichung der Demo-Exploits steigt die Wahrscheinlichkeit enorm, dass PDF-Dokumente mit gefährlichem Schadcode auftauchen und die Lücken auf breiter Front ausgenutzt werden.

Seitens Adobe heißt es zu dem Sicherheitsproblem bislang lediglich, dass man informiert sei und der Sache nachgehe. Wer bis zum Erscheinen einer fehlerbereinigten Version kein Risiko eingehen will, kann auf einen alternativen PDF-Viewer ausweichen und sollte den Adobe Reader derweil deinstallieren, um sich beim Surfen im Netz keine Schadsoftware einzufangen.

Siehe dazu auch:

    * Adobe Reader 'getAnnots()' Javascript Function Remote Code Execution Vulnerability, Eintrag bei SecurityFocus
    * Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability, Eintrag bei SecurityFocus
    * Potential Adobe Reader Issue, Reaktion von Adobe
    * Antivirenhersteller rät vom Einsatz des Adobe Reader ab, Meldung auf heise Security
    * Liste alternativer PDF-Viewer im heise Software-Verzeichnis


Quelle : http://www.heise.de/newsticker/Demo-Exploits-fuer-neue-Schwachstellen-im-Adobe-Reader--/meldung/136958
Titel: Adobe will Lücken in Reader und Acrobat am 12. Mai schließen
Beitrag von: SiLæncer am 05 Mai, 2009, 15:53
Adobe will am 12. Mai Sicherheits-Update für Adobe Reader und Acrobat veröffentlichen, um den kürzlich bekannt gewordene Buffer Overflow in der JavaScript-Funktion getAnnots() in seinen Produkten zu beseitigen. Angreifer können durch präparierte PDF-Dokumente Code in einen Rechner schleusen und im Kontext des Anwenders starten. Die Updates sollen für die Windows-Versionen 7.x, 8.x und 9.x des Adobe Reader und Acrobat sowie für die Unix- und Mac-Versionen 8.x und 9.x des Adobe Reader und Acrobat erscheinen.

Das Update für die Unix-Version soll zudem eine zweite Lücke in der JavaScript-Funktion customDictionaryOpen schließen, die sich nur in der Unix-Version befindet und sich ebenfalls zum Einschleusen von Code eignet. Bis zum Erscheinen der Updates empfiehlt Adobe, die Verarbeitung von JavaScript in seinen Produkten zu deaktivieren (unter Bearbeiten/Einstellungen/JavaScript/Acrobat JavaScript aktivieren).

Quelle : www.heise.de
Titel: Javascript-Probleme - Sicherheitsbedenken gegen Adobe Reader
Beitrag von: SiLæncer am 06 Mai, 2009, 19:23
Der Adobe Reader ist die Standardanwendung zum Anzeigen von PDF-Dateien, auch wenn es inzwischen etliche Alternativen dazu gibt. Adobes PDF-Viewer ist daher auch eines der beliebtesten Angriffsziele von Online-Kriminellen. Sicherheitsfachleute kritisieren, die Unterstützung von Javascript im Adobe Reader biete eine Angriffsfläche, die besonders in Unternehmen zu Problemen führe.

Erik Cabetas, Sicherheitsfachmann bei einem New Yorker Online-Shop, gibt zu bedenken, dass die von Adobe als Vermeidungsstrategie empfohlene Deaktivierung von Javascript im Adobe Reader nicht wirklich funktioniere. Sie führe lediglich dazu, dass Adobe Reader eine Dialogbox öffnet, die den Anwender darauf hinweist, dass Javascript benötigt wird.

Dies geschieht, sobald ein Benutzer eine PDF-Datei öffnen will, die etwa Formularfelder enthält. Der Anwender wird aufgefordert Javascript für diese Datei zu aktivieren. Wählt er "Nein", wird er unter Umständen mehrfach hintereinander gefragt. Er kann auch ankreuzen, dass er nicht wieder danach gefragt werden will.

Cabetas berichtet, er habe ein Script geschrieben, das in seinem Unternehmen Javascript im Adobe Reader auf allen Rechnern abschaltet. Die Folge sind Nachfragen einiger Anwender, ob sie auf "Ja" klicken dürfen - die meisten Anwender klicken jedoch ohne Nachfrage schon aus Gewohnheit auf "Ja" ohne über mögliche Sicherheitsrisiken nachzudenken.

Randy Abrams vom tschechischen Antivirushersteller ESET schlägt in die gleiche Kerbe. Die Angriffsfläche, die mit der Einführung von Javascript im Adobe Reader entstanden sei, könne mit alten Versionen von Microsoft Office vergleichen werden, schreibt Abrams im Blog des Unternehmens. Microsoft habe aus den zahllosen Vorfällen mit Makro-Viren gelernt und die Ausführung von Autostart-Makros inzwischen wirksam unterbunden. Adobe müsse das erst noch lernen.

Bereits im März hatte Adobe Sicherheits-Updates bereit stellen müssen, um einige Schwachstellen zu beseitigen, die von Angreifern aktiv ausgenutzt werden. In der letzten Woche sind zwei weitere Sicherheitslücken bekannt geworden, die mittels Javascript in präparieren PDF-Dateien ausgenutzt werden können. Adobe hat angekündigt am 12. Mai Sicherheits-Updates bereit stellen zu wollen.

Erst kürzlich hatte der Antivirushersteller F-Secure empfohlen den Adobe Reader nicht mehr als PDF-Betrachter zu verwenden und auf alternative Programme auszuweichen. Hierbei kommen etwa der kostenlos erhältlich Foxit Reader oder Sumatra PDF in Betracht, weitere Gratis-Programmen finden Sie auf der Website pdfreaders.org. Allerdings unterstützt auch Foxit Reader Javascript in PDF-Formularen - die Einstellungen bieten jedoch keine Option Javascript zu deaktivieren. Sumatra hingegen unterstützt kein Javascript.

Quelle : www.pcwelt.de
Titel: Re: Javascript-Probleme - Sicherheitsbedenken gegen Adobe Reader
Beitrag von: berti am 07 Mai, 2009, 16:28
Allerdings unterstützt auch Foxit Reader Javascript in PDF-Formularen - die Einstellungen bieten jedoch keine Option Javascript zu deaktivieren. Sumatra hingegen unterstützt kein Javascript.



??? foxit reader 3.0 -> edit -> preferenzen -> javascript , dort den klick raus
damit ist doch javascript disabled oder ?
Titel: Adobe schließt kritische Lücken im Reader und in Acrobat
Beitrag von: spoke1 am 13 Mai, 2009, 12:02
Wie angekündigt hat Adobe die Sicherheits-Updates Adobe Reader 9.1.1 und Acrobat 9.1.1 für Windows, Mac und Unix veröffentlicht, um den kürzlich bekannt gewordenen Buffer Overflow in der JavaScript-Funktion getAnnots() zu beseitigen. Updates gibt es für Windows, Mac und Unix.

Für Anwender, die aus bestimmten Gründen nicht auf die Versionen 9.1.1 aktualisieren können, stehen die Fassungen 8.1.5 und 7.1.2 zur Verfügung. Letztere soll für Mac-Anwender allerdings erst Ende Juni fertig sein.

In der Unix-Version hat der Hersteller zusätzlich eine zweite Lücke in der JavaScript-Funktion customDictionaryOpen geschlossen, die in anderen Versionen nach seinen Angaben vermutlich nicht zum Tragen kommt.


Quelle: http://www.heise.de/

Titel: Patchday bei Adobe
Beitrag von: SiLæncer am 21 Mai, 2009, 12:33
Einmal pro Quartal erscheinen Patches für PDF-Produkte

Nach dem Vorbild von Microsoft will auch Adobe künftig einen festen Patchday anbieten. Im Unterschied zu Microsofts Ansatz wird es den Patchday bei Adobe allerdings nur einmal im Quartal geben. Ein monatlicher Patchday ist nicht geplant.
In einem weiteren Punkt unterscheidet sich Adobes Patchday-Konzept von Microsofts Ansatz. Während Microsoft am Patchday keine Software-Produkte ausschließt, will Adobe an dem regelmäßigen Patchday nur Software-Updates für die PDF-Produkte Adobe Reader und Acrobat veröffentlichen.

Im Sommer 2009 will Adobe mit dem Patchday-Zyklus beginnen. Dabei orientiert sich Adobe an Microsofts Intervall. Microsofts Patchday findet immer am zweiten Dienstag im Monat statt und Adobe will den einen Patchday im Quartal ebenfalls am zweiten Dienstag des laufenden Quartals abhalten.

Damit wird der Patchday von Adobe zumindest einmal in drei Monaten am gleichen Tag stattfinden, wie der Patchday von Microsoft. Bereits in der jüngsten Vergangenheit war das der Fall, Adobe bezeichnet das allerdings als Zufall. Im März 2009 hatte Adobe an Microsofts Patchday ein Update für den Adobe Reader veröffentlicht. Auch der jüngste Sicherheitspatch für den Adobe Reader vom Mai 2009 wurde genau an Microsofts Patchday veröffentlicht.

Quelle : http://www.golem.de/0905/67279.html
Titel: Patchday bei Adobe
Beitrag von: SiLæncer am 08 Juni, 2009, 16:02
Adobe will am 9. Juni zum ersten Mal seinen angekündigten regelmäßigen Patch Day abhalten. Am Dienstag sollen Sicherheits-Updates als kritisch eingestufte Sicherheitslücken im Adobe Reader beseitigen.

Adobe hat seine Sicherheitsstrategie für die Acrobat-Produkte, einschließlich Adobe Reader, überarbeitet und will regelmäßig alle drei Monate einen Patch Day abhalten. Dabei sollen zwischenzeitlich entdeckte Schwachstellen beseitigt werden. Als Termin für die quartalsweisen Updates hat sich Adobe, wie Microsoft, den zweiten Dienstag des Monats ausgeguckt. Am 9. Juni ist es nun erstmals soweit.

Im Blog des Adobe Product Security Incident Response Team (PSIRT) hat Brad Ark mit Anleihen bei Microsoft eine "Adobe Security Bulletin Advance Notification" veröffentlicht. Adobe kündigt als "kritisch" eingestufte Updates für Acrobat und Adobe Reader an. Diese Ankündigung einer Software-Aktualisierung geht allerdings sparsamer mit Informationen um als bei Microsoft seit einiger Zeit üblich.

Bei Adobe heißt es lediglich, die Updates seien das erste Ergebnis von Adobes Bemühungen, den Programm-Code seiner PDF-Produkte zu härten. Das bedeutet, die Programmierer sichten die Quelltexte auf mögliche Fehler, die ausgenutzt werden könnten. Sie beschränken sich dabei allerdings auf Bereiche, die als besonders verdächtig gelten, also mit höherer Wahrscheinlichkeit ausnutzbare Schwachstellen aufweisen könnten.
Bereits Ende Mai ist bei Milw0rm ein Demo-Exploit veröffentlicht worden, der mittels ansonsten eher sinnfreiem Javascript-Code den Adobe Reader 9.1.1 zum Absturz bringt. Eigene Tests haben ergeben, dass die PDF-Datei auch den Adobe Reader 8.1.5 nach Dr. Watson rufen lässt. Der Foxit Reader reagiert nicht darauf, ebenso wenig Sumatra-PDF.

Der Bochumer Antivirushersteller G Data hat heute eine Warnung heraus gegeben, laut der in den letzten
Tagen mehrere hundert Domains mit anrüchigen Namen aufgetaucht sind. Sie ködern mit schlüpfrigen Themen und nutzen Suchmaschinenoptimierung, um möglichst viele Opfer anzulocken. Die Zielseiten sind mit Exploit-Code für Sicherheitslücken im Adobe Reader präpariert und sollen Malware einschleusen.

Quelle : www.pcwelt.de
Titel: Patchday bei Adobe
Beitrag von: SiLæncer am 10 Juni, 2009, 09:39
Adobe hat wie geplant parallel zum Microsoft-Patchday Sicherheits-Updates für Adobe Reader und Adobe Acrobat herausgegeben, die 13 veröffentlichte Lücken in den aktuellen und vorhergehenden Versionen schließen sollen. Darüber hinaus beseitigen die Updates mehrere bei internen Audits entdeckte Lücken, über die keine weiteren Informationen vorliegen. Viele der Lücken stuft der Hersteller als kritisch ein, da sich durch präparierte PDF-Dokumente Schadcode in ein System schleusen und starten lässt. Die meisten der Fehler betreffen erneut den JBIG2-Filter.

Berichten von Antivirenherstellern zufolge haben gezielte Attacken auf Lücken in PDF-Anwendungen denen in Word und Excel mittlerweile den Rang abgelaufen. Daher ist es umso wichtiger, die Updates so bald wie möglich zu installieren. Allerdings stehen die Updates auf die Versionen 9.1.2 (und die älteren Reihen auf 8.1.6 und 7.1.3) zunächst nur für Windows und Mac zur Verfügung. Die Updates für Unix-Plattformen sollen erst am 16. Juni erscheinen.

Alle drei Monate sollen ab nun jeweils den zweiten Dienstag eines Monats Sicherheits-Updates erscheinen – parallel zu Microsofts Updates. In den drei Monaten wollen die Entwickler im Rahmen des neu eingeführten Secure Product Lifecycle (SPLC) den Code auf Schwachstellen untersuchen und diese schließen. Bislang veröffentlichte Adobe seine Sicherheits-Updates nur beim Bekanntwerden von Sicherheitslücken. Adobe reagiert damit auf die seit Längerem von Sicherheitsexperten geforderten Schritte für mehr Sicherheit.

Siehe dazu auch:

    * Security Updates available for Adobe Reader and Acrobat (http://www.adobe.com/support/security/bulletins/apsb09-07.html), Meldung von Adobe

Quelle : www.heise.de
Titel: Adobe patcht kritische Lücke im Shockwave Player
Beitrag von: SiLæncer am 24 Juni, 2009, 10:41
Adobe hat die Fassung 11.5.0.600 des Shockwave Player vorgelegt, in der die Entwickler eine kritische Sicherheitslücke beseitigt haben. Angreifer können durch manipulierte Shockwave-Dateien einen PC kompromittieren. Genauere Angaben zur Ursache des Problems macht der Hersteller nicht.

Zum Update ist nach Angaben von Adobe zunächst die Deinstallation des alten Player notwendig, anschließend muss der Anwender die neue Version installieren.Der Shockwave Player ist quasi der große Bruder des Flash Player und bietet einen erweiterten Funktionsumfang. Typischerweise wird er zur Darstellung komplexerer, interaktiver Präsentationen, Spiele und anderer Anwendungen benutzt und steht wie der Flash Payer als Browser-Plug-in zur Verfügung. In der Mehrzahl dürften Anwender jedoch nur Adobe Flash Player installiert haben und somit von der Lücke nicht betroffen sein.

Quelle : www.heise.de (http://www.heise.de)
Titel: Lücke in ColdFusion 8 gefährdet Sicherheit von Websites
Beitrag von: SiLæncer am 06 Juli, 2009, 15:18
Adobe hat eine Sicherheitslücke in dem zum Lieferumfang von ColdFusion 8 gehörenden freien FCKEditor bestätigt. FCKEditor ist ein Open-Source-HTML-Editor, der zwar zum Lieferumfang von ColdFusion gehört, standardmäßig aber nicht aktiviert sein soll. In bestimmten Fällen soll der dazugehörige Connector aber trotzdem aktiv sein.

Seit einigen Tagen gibt es Meldungen über Einbrüche in Websites auf Basis von ColdFusion, bei denen Unbekannte offenbar die Lücke ausnutzten, um Inhalte zu manipulieren. Möglicherweise steht auch die Warnung von Googles SafeBrowsing-Funktion am Wochenende vor den Webseiten des Ad-Provider EyeWonder in diesem Zusammenhang.

Unbekannte hatten dessen Webserver gehackt, sodass dieser Malware enthielt. Damit landete die Domain in der Google-Liste verdächtiger Seiten. In der Folge warnten Browser, die die Google-API benutzten, auch vor Banner-Ad-Servern in dieser Domain – obwohl diese laut EyeWonder nicht betroffen gewesen sein sollen. Besucher von Webseiten wie CNN, Washington Post, BBC und Mashable bekamen im Browser ein Stoppschild aufgrund der Nachladeversuche von Werbung zu Gesicht. Mittlerweile sollen die Probleme aber behoben und die Serverlücke geschlossen sein.

Adobe hat einen Patch für ColdFusion für nächste Woche angekündigt, der die Möglichkeit des unautorisierten Hochladens eigener Dateien – beispielsweise von Remote-Shells – unterbinden soll. Bis dahin empfiehlt der Hersteller einige Maßnahmen, um das System mit einem Workaround zu sichern und festzustellen, ob er bereits gehackt wurde. Weitere Details dazu sind im Bericht von Adobe und zusätzlich in der Meldung des Open-Source-CERT zu finden.

Im Laufe des heutigen Tages wollen die Entwickler des Editors die Version 2.6.4.1 veröffentlichen, in der der Fehler und einige Cross-Site-Scripting-Lücken beseitigt sind.

Siehe dazu auch:

    * Potential ColdFusion security issue, Warnung von Adobe
    * FCKeditor input sanitization errors, Bericht des oCERT

Quelle : http://www.heise.de/newsticker/Luecke-in-ColdFusion-8-gefaehrdet-Sicherheit-von-Websites--/meldung/141633 (http://www.heise.de/newsticker/Luecke-in-ColdFusion-8-gefaehrdet-Sicherheit-von-Websites--/meldung/141633)
Titel: Adobe bietet unsichere Reader-Versionen zum Download an
Beitrag von: SiLæncer am 21 Juli, 2009, 16:57
Adobe verteilt über seine Download-Seiten ältere, verwundbare Versionen des Adobe Reader. Angreifer könnten dadurch mittels präparierter PDF-Dokumente PCs von Anwender infizieren. Aufgefallen war das Problem dem Sicherheitsdienstleister Secunia, der Meldungen von Nutzern des Personal Software Inspectors erhielt, dass dieser die gerade heruntergeladene und installierte Version des Reader als unsicher monierte.

In der Tat erhält man beim Aufruf der Seite get.adobe.com/de/reader mit einem Windows-System die veraltete Version 9.1 zum Download angeboten, die mehrere Sicherheitslücken enthält. Selbst wenn man über die Option "Andere Version" versucht, die Version manuell auszuwählen, bekommt man nur alte Fassungen angeboten. Ruft man die Seite hingegen mit einem Linux-System auf, so bietet der Server die aktuelle Version 9.1.2 an, die Adobe immerhin bereits am 9. Juni veröffentlicht hat.

Immerhin bietet der Reader über die integrierte Update-Funktion laut Secunia eine Aktualisierung an, allerdings kann es dann unter Umständen schon zu spät sein. Ein offizielle Stellungnahme war auf Anfrage von heise Security nicht zu erhalten. Anwender sollten das Update im Reader manuell starten.

Aufgrund von Sicherheitsproblemen in seinen Produkten hatte Adobe erst kürzlich ein Programm aufgelegt, bei dem in regelmäßigen Patch-Zyklus neue Version des Adobe Reader und Acrobat erscheinen sollen. Alle drei Monate sollen jeweils den zweiten Dienstag eines Monats Sicherheits-Updates erscheinen – parallel zu Microsofts Updates. In den drei Monaten wollen die Entwickler im Rahmen des neu eingeführten Secure Product Lifecycle (SPLC) den Code auf Schwachstellen untersuchen und diese schließen. Bislang veröffentlichte Adobe seine Sicherheits-Updates nur beim Bekanntwerden von Sicherheitslücken. Allerdings nützt dieses Programm wenig, wenn man dann weiterhin ungepatchte Versionen verteilt.

Siehe dazu auch:

    * Patchday bei Adobe
    * Adobe plant eigenen Patchday
    * Antivirenhersteller rät vom Einsatz des Adobe Reader ab

Quelle : http://www.heise.de/newsticker/Adobe-bietet-unsichere-Reader-Versionen-zum-Download-an--/meldung/142325 (http://www.heise.de/newsticker/Adobe-bietet-unsichere-Reader-Versionen-zum-Download-an--/meldung/142325)
Titel: Zero-Day-Lücke in Adobe Flash Player, Reader und Acrobat
Beitrag von: SiLæncer am 23 Juli, 2009, 11:58
Adobe warnt vor einer kritischen Sicherheitslücke im aktuellen Flash Player für Windows, Macintosh und Linux. Zudem ist auch der Adobe Reader sowie Acrobat 9.x für alle Plattformen betroffen, da die verwundbare Flash-Komponente authplay.dll dort im Lieferumfang enthalten ist. Die Lücke wird auch bereits aktiv auf beiden Wegen ausgenutzt, also sowohl über präparierte PDF-Dokumente als auch über manipulierte Webseiten (Drive-by-Downloads). Berichten zufolge soll der bei den Drive-by-Downloads verwendete Exploit PCs von Anwendern des Internet Explorer und des Firefox infizieren können.

Adobe arbeitet an der Lösung des Problems und glaubt, ein Update für den Flash Player bis zum 30. Juli für Windows, Macintosh und Linux fertig stellen zu können. Die Solaris-Version soll etwas später folgen. Das Update für den Adobe Reader und Acrobat soll zumindest für Windows und Mac am 31. Juli erscheinen. Einen genauen Zeitpunkt für die Unix-Version gibt es noch nicht.

Adobe selbst hat bislang nur gezielte Angriffe gegen den Reader beobachtet und empfiehlt bis zur Verfügbarkeit eines Patches die Datei authplay.dll zu löschen, umzubenennen oder den Zugriff darauf zu sperren. Üblicherweise ist die Datei unter C:\Programme\Adobe\Reader 9.0\Reader\authplay.dll zu finden.

Alternativ kann das Deaktivieren von Flash im Adobe Reader helfen. Verantwortlich dafür ist die Option "Multimedia-Berechtigungen" in den Grundeinstellungen. Das Abschalten von JavaScript soll indes nicht gegen den Exploit schützen. Flash-Anwendern empfiehlt der Hersteller, nicht vertrauenswürdige Seiten nur mit äußerster Vorsicht zu besuchen. Wie das praktisch umzusetzen ist, lässt Adobe jedoch offen.

Nach Angaben von Symantec installiert der PDF-Trojaner (Trojan.Pidief.G) eine Backdoor auf dem System, die sich zu drei Servern verbindet. Bislang ist die Verbreitung der Exploits aber wohl noch nicht besonders groß – dies kann sich aber sehr schnell ändern. Adobe arbeitet mit Antivirenherstellern zusammen, um die Erkennung des Schädlings zu verbessern.

Siehe dazu auch:

    * Security advisory for Adobe Reader, Acrobat and Flash Player
    * Trojan.Pidief.G, Beschreibung von Symantec

Quelle : http://www.heise.de/newsticker/Zero-Day-Luecke-in-Adobe-Flash-Player-Reader-und-Acrobat--/meldung/142462 (http://www.heise.de/newsticker/Zero-Day-Luecke-in-Adobe-Flash-Player-Reader-und-Acrobat--/meldung/142462)
Titel: Adobe stopft zahlreiche Lücken im Flash Player und AIR
Beitrag von: SiLæncer am 31 Juli, 2009, 10:45
Adobe hat Updates für den Flash Player und AIR veröffentlicht, die insgesamt zwölf Sicherheitslücken schließen sollen. Darunter findet sich auch die kürzlich entdeckte Lücke, durch die Angreifer mittels präparierter Webseiten die Kontrolle über einen PC übernehmen können. Von dieser Lücke sind auch der Adobe Reader und Acrobat betroffen, für die im Laufe des heutigen Tages ebenfalls Updates erscheinen sollen. Dort lässt sich die Lücke durch präparierte PDF-Dokumente mit Flash-Inhalten ausnutzen.

Die Lücke wird auch bereits aktiv auf beiden Wegen ausgenutzt, also sowohl über präparierte PDF-Dokumente als auch über manipulierte Webseiten (Drive-by-Downloads). Berichten zufolge soll der bei den Drive-by-Downloads verwendete Exploit PCs von Anwendern des Internet Explorer und des Firefox infizieren können.

Daneben beheben die Flash- und AIR-Updates noch fünf weitere kritische Fehler, die auf Heap und Buffer Overflows beruhen und das Einschleusen von Code ermöglichen. Darüber hinaus hat Adobe das ATL-Problem und eine ClickJacking-Schwachstelle korrigiert. Adobe empfiehlt Anwendern, so schnell wie möglich auf die Flash-Versionen 9.0.246.0 oder 10.0.32.18 respektive auf AIR 1.5.2 upzudaten, beispielsweise durch die eingebaute Update-Funktion.

Die Flash-Updates stehen für Windows, Mac, Linux und Solaris zum Download (http://get.adobe.com/de/flashplayer/) bereit. Welche Version man installiert hat, kann man durch Aufruf der folgenden Seite herausfinden: Adobe Flash Player (http://www.adobe.com/software/flash/about/). Das AIR-Update steht für Windows, Mac und Linux zur Verfügung (http://get.adobe.com/de/air/otherversions/).

Quelle : www.heise.de (http://www.heise.de)
Titel: Adobe patcht nun auch Lücke in Reader und Acrobat
Beitrag von: SiLæncer am 03 August, 2009, 12:21
Adobe hat am Wochenende das Update für seinen Reader und Acrobat für Windows, Mac und Unix veröffentlicht. Es schließt kritische Sicherheitslücken im Zusammenhang mit Flash-Inhalten, die sich nicht nur im Flash Player, sondern auch in den PDF-Anwendungen der Herstellers zum Einschleusen und Starten von Schadcode ausnutzen lassen. Mehrere Antivirenhersteller berichten, dass Kriminelle die Lücken bereits aktiv ausnutzen, um Windows-PCs mit Schädlingen zu infizieren.

Anwender sollten das Reader-Update auf Version 9.1.3 über die integrierte Aktualisierungsfunktion installieren. Wer sich den Reader komplett neu installiert, sollte darauf achten, dass der Hersteller für Windows-Anwender nur Version 9.1 zum Download anbietet, die anschließend ebenfalls ein Update auf 9.1.3 erfordert.

Linux-Anwender können gleich die korrigierte Version 9.1.3 herunterladen und müssen keine weiteren Updates mehr durchführen. Anwender von Adobe Acrobat müssen sich eine komplett neue Version für Windows oder Mac herunterladen.

Quelle : www.heise.de (http://www.heise.de)
Titel: Adobe patcht ColdFusion und JRun
Beitrag von: SiLæncer am 18 August, 2009, 12:19
Adobe hat Patches für ColdFusion 7.02, 8.0, 8.0.1 und JRun 4.0 veröffentlicht, die verhindern sollen, dass Angreifer unberechtigten Zugriff auf Anwenderkonten erhalten können. Ursache sind unter anderem mehrere Cross-Site-Scripting-Schwachstellen.

Darüber hinaus beseitigen die Patches eine Directory-Traversal-Lücke in der Using Management Console von JRun, mit der sich beliebige Dateien auf dem Server abrufen lassen sowie ein Session-Fixation-Schwachstelle in ColdFusion, durch die sich die Zugriffsrechte erhöhen lassen. Der Hersteller stuft die Fehler als kritisch ein und empfiehlt, die Patches baldigst zu installieren.

Quelle : www.heise.de
Titel: Adobe-Anwender erneut unter Beschuss
Beitrag von: SiLæncer am 09 Oktober, 2009, 01:10
Adobe warnt vor einer Sicherheitslücke in Adobe Reader und Acrobat 9.1.3 für Windows, Macs und Linux. Einmal mehr wird die Lücke bereits ausgenutzt, bevor ein Update des Herstellers bereitsteht, um sie zu schließen. Die aktuellen Angriffe mit diesem Zero-Day-Exploit beschränken sich laut Adobe auf Windows-Systeme.

Adobe will zum ohnehin anstehenden Patchday am Dienstag den 13. Oktober aktualisierte Versionen des Readers für alle Plattformen bereitstellen. Bis helfe es JavaScript zu deaktivieren, weil dies die aktuellen Exploits verhindere. Allerdings bestehe die Möglichkeit, das Sicherheitsloch auch ohne JavaScript auszunutzen. Windows Vista Systeme, auf denen DEP aktiviert ist, sollen imun sein.

Da alle Anzeichen auf einen Pufferüberlauf hinweisen, sollte es auch helfen, statt der Adobe-Software einen alternativen Reader einzusetzen. Selbst wenn dieser die Lücke ebenfalls aufweisen sollte, würden die auf den Adobe Reader maßgeschneiderten Exploits dort nicht funktionieren. Das Internet Storm Center erklärt, man könne PDF-Dateien säubern, indem man sie in das Postscript-Format und zurück konvertiere.

Quelle : www.heise.de
Titel: Malware-Autoren nutzen Adobe-0-Day-Lücke aktiv
Beitrag von: SiLæncer am 12 Oktober, 2009, 20:50
 Kaum hat Adobe die Existenz einer Lücke in Adobe Acrobat und Acrobat Reader bekannt gegeben, tauchen schon die ersten Malware-Beispiele auf, welche die Lücke ausnutzen.

Bereits zum vierten Mal in 2009 ist in den Adobe-Programmen Acrobat und Reader eine gefährliche Lücke aufgetaucht. Adobe hatte die Lücke erst am Freitag offiziell bestätig. Sicherheitshersteller Sophos meldet nun bereit die erste Malware namens Troj/PDFJs-DS, welche die Sicherheitslücke CVE-2009-3459 aktiv ausnutzt. Die Malware versucht, einen Trojaner herunterzuladen und auf dem Rechner eine Backdoor einzurichten.

Die Realtime-Watch von Kaspersky zeigt eindrucksvoll, wie populär PDF-Malware mitterlweile ist. Eine Suche nach der Oberfamilie der PDF-Malware, „Exploit.JS.Pdfka“ offenbart eine Vielzahl von Angriffen in den letzten Tagen.

Administratoren sollten also die Nutzer in ihrem Netz erneut davor warnen, PDF-Dokumente allzu blauäugig zu öffnen. Adobe hat bereits für den 13. Oktober (US-Zeitzone) ein Update angekündigt. Bis dieses eingespielt ist, sollte man als Hotfix die JavaScript-Unterstützung im Reader und Acrobat deaktiveren. Diese finden sich im Menü „Bearbeiten - Voreinstellungen (STRG + K)“ unter dem Punkt JavaScript.

Quelle : www.tecchannel.de
Titel: 29 Sicherheitslücken im Adobe Reader und in Acrobat
Beitrag von: SiLæncer am 14 Oktober, 2009, 12:06
Adobe hat Sicherheitspatches für den Adobe Reader sowie für Acrobat veröffentlicht, um insgesamt 29 Sicherheitslücken zu beseitigen. 16 dieser Sicherheitslücken gelten als gefährlich, denn Angreifer können darüber schadhaften Programmcode ausführen.
Die Sicherheitsupdates stehen für die Versionen 7.1.3, 8.1.6 sowie 9.1.3 vom Adobe Reader und von Acrobat bereit. Die Patches gibt es jeweils für Windows, Mac und Linux. In diesem Monat wird Adobe das letzte Mal Sicherheitslücken im Adobe Reader und in Acrobat der Version 7.x korrigieren, weil der Support Ende des Jahres ausläuft.

Von den 29 Sicherheitslücken in den PDF-Applikationen können 16 Fehler zum Ausführen von Schadcode missbraucht werden. Die Updates sollten daher zügig eingespielt werden.

Die aktuellen Versionen vom Adobe Reader und von Acrobat können über Adobes Security Bulletin (http://www.adobe.com/support/security/bulletins/apsb09-15.html) geladen und installiert werden.

Quelle : www.golem.de
Titel: Koobface-Wurm - Falsches Adobe Flash Update
Beitrag von: SiLæncer am 16 Oktober, 2009, 16:55
Die Betreiber des mit Hilfe des Wurms Koobface aufgebauten Botnet haben eine weitere Kampagne gestartet, um ihre installierte Basis zu verbreitern. Links führen zu gefälschten Youtube-Seiten, die ein vorgebliches Update für den Flash Player installieren.

Der Koobface-Wurm treibt bereits seit geraumer Zeit in den sozialen Netzwerken Facebook und Myspace sowie in Twitter sein Unwesen. Die aktuelle Kampagne zu weiteren Verbreitung des Wurms und zum Ausbau des Botnet lockt einmal mehr mit Links zu vermeintlichen Youtube-Videos. Die gefälschten Youtube-Seiten haben gleich eine doppelte Ladung parat: sie installieren den Wurm sowie auch noch ein betrügerisches Schutzprogramm.

Die Botnet-Betreiber verbreiten über bereits infizierte Facebook-Nutzer Nachrichten wie "Coongratulations! You are on TV!", "Funny vide0 with me :)", "You werre caughtt on our hiddeen camera!!" und dergleichen mehr. Wer die verknüpften Seiten aufruft, sieht die Aufforderung seinen vorgeblichen veralteten Flash Player zu aktualisieren. Das als "setup.exe" angebotene Update besteht aus dem Koobface-Wurm. Zugleich wird ein Popup einer täglich wechselnden Scareware-Website geladen. Mit der Installation betrügerischer Schutzprogramme verdient die Koobface-Bande eine Menge Geld.

Der Sicherheitsforscher Dancho Danchev (http://ddanchev.blogspot.com/) untersucht die Machenschaften der Koobface-Bande schon längere Zeit und berichtet auch in seinem Blog darüber.

Quelle : www.pcwelt.de
Titel: Sicherheitslücke in Acrobat Reader (Linux) entdeckt
Beitrag von: SiLæncer am 21 Oktober, 2009, 19:14
 Die Sicherheitslücken um PDF-Reader (unter Linux) reißen nicht ab: Betroffen ist auch Version 9.1.1 des Adobe Acrobat Reader für Linux.

Laut einem Bericht von Security Reason wurde eine hochkritische Sicherheitslücke in Version 9.1.1 des Adobe Acrobat Reader für Linux nachgewiesen. Die neueren Versionen 9.1.2 und 9.1.3 der Anwendung sind laut dem Bericht nicht betroffen. Damit existiert unter Linux - neben xpdf - eine hochkritische Sicherheitslücke bei den PDF-Reader-Anwendungen. Die Sicherheitslücke lässt sich über manipulierte PDF-Dokumente auslösen und ermöglicht per Stack-basierten Pufferüberlauf die Einspeisung von beliebigem Schadcode. Es wird daher dringend empfohlen, auf die neuste Version 9.1.3 des Adobe Acrobat Reader aufzurüsten.

Quelle : www.tecchannel.de
Titel: Adobe patcht kritische Lücken im Shockwave Player
Beitrag von: SiLæncer am 04 November, 2009, 10:36
Das Sicherheits-Update 11.5.2.602 von Adobe für den Shockwave Player schließt fünf kritische Sicherheitslücken, von denen sich vier zum Einschleusen und Ausführen von Code ausnutzen lassen. Dazu genügt der Besuch einer manipulierten Webseite. Die Lücken wurden allesamt vom französischen Sicherheitsdienstleister VUPEN Security entdeckt. Dabei handelt es sich unter anderem um Fehler bei der Verarbeitung von Pointern sowie um Speicherverletzungen beim Einlesen präparierter Shockwave-Dateien. Das Update steht für Windows und Mac zum Download zur Verfügung.

Der Shockwave Player ist quasi der große Bruder des Flash Player und bietet einen erweiterten Funktionsumfang. Typischerweise wird er zur Darstellung komplexerer, interaktiver Präsentationen, Spiele und anderer Anwendungen benutzt und steht wie der Flash Player als Browser-Plug-in zur Verfügung. Adobes Namensgebung (das Firefox-Plug-in für den Flash Player heißt unglücklicherweise "Shockwave Flash") führt allgemein zur Verwirrung bei Anwendern. In der Mehrzahl dürften Anwender jedoch nur Adobe Flash Player installiert haben und somit von der Lücke nicht betroffen sein. Andersherum ist der Flash Player aber immer im Lieferumfang des Shockwave Player enthalten.

Quelle : www.heise.de
Titel: Adobe: Patch für Lücke in Illustrator angekündigt
Beitrag von: SiLæncer am 08 Dezember, 2009, 20:45
'Adobe' will am 8. Januar 2010 einen Patch für die kürzlich entdeckte kritische Schwachstelle im Vektorgrafikprogramm Illustrator veröffentlichen. Davon betroffen sind die Illustrator-Versionen CS3 und CS4 unter Windows und Mac OS X.

Durch das Ausnutzen dieser Schwachstelle könnte ein Angreifer beliebigen Schadcode auf die Systeme der Opfer einschleusen und diesen Code sodann ausführen. Auch Adobe selbst hat diese Lücke im Zusammenhang mit manipulierten Encapsulated-Postscript-Dateien (.EPS) bestätigt.

Laut den Entwicklern von Adobe sind von dieser Problematik die Illustrator CS3 Versionen 13.0.3 und früher sowie Illustrator CS4 14.0.0 unter Windows und Mac OS X betroffen.

Bis zum Erscheinen des nun angekündigten Patches empfiehlt es sich, keine EPS-Dateien aus unbekannten Quellen zu öffnen.

Ursprünglich wurden die Sicherheitsexperten von Secunia auf dieses Problem aufmerksam. Angeblich soll bereits ein erstes Exploit, welches auf diese Lücke abzielt, im Internet kursieren.

Quelle : http://winfuture.de
Titel: Mehrere Löcher im Adobe Flash Player geschlossen
Beitrag von: SiLæncer am 09 Dezember, 2009, 10:26
Die Sicherheits-Updates 10.0.42.34 (http://get.adobe.com/de/flashplayer/) für Adobes Flash Player und 1.5.3 für Adobe Air beseitigen sechs kritische Sicherheitslücken auf allen Plattformen, durch die ein Angreifer die Kontrolle über einen Rechner übernehmen kann – wenn das Opfer mit Admin-Rechten arbeitet. Für einen erfolgreichen Angriff genügt es, dass der Anwender eine präparierte Webseite besucht oder ungewollt auf solch eine Seite umgeleitet wird. In der Windows-Version schließen die Updates zudem einen Fehler im ActiveX-Control für den Internet Explorer, durch den der PC bestimmte Informationen preisgeben kann.

Adobe empfiehlt allen Anwendern des Flash Player 10.0.32.18 und früheren Versionen, auf die neue Version zu wechseln. Der Hersteller macht jedoch keine Angaben, ob die Lücken auch im Flash Player 9 zu finden sind – bei vorhergehenden Fehlerberichten zum Flash Player waren sonst immer sowohl Version 9 und 10 betroffen. Der Flash Player lässt sich über die automatische Update-Funktion aktualisieren. Bei Adobe Air ist ein manueller Download notwendig. Um künftig festzustellen, ob die eigene Player-Installation auf dem neuesten Stand ist, können Anwender den Update-Check auf heise Security nutzen.

Laut Adobe wurden die unter anderem auf Integer Overflows und Speicherfehlern beruhenden Probleme allesamt von externen Sicherheitsdienstleistern entdeckt und gemeldet, darunter Fortinet, TippingPoint, das US-CERT und Microsoft.

Quelle : www.heise.de
Titel: Angriffe auf ungepatche Lücke in Adobe Reader und Acrobat
Beitrag von: SiLæncer am 15 Dezember, 2009, 10:04
Eine bislang unbekannte Sicherheitslücke im Adobe Reader 9.2 und Acrobat 9.2 (sowie jeweils früheren Versionen) wird nach Angaben des Herstellers bereits aktiv ausgenutzt, um Systeme zu infizieren. Laut Adobes Sicherheitsteam untersucht man das Problem derzeit, nähere Angaben zur Ursache, den Umständen oder betroffenen Betriebssystemen macht der Hersteller jedoch nicht. Unklar ist auch, ob es sich um gezielte Angriffe mit einzelnen präparierten PDF-Dokumenten handelt oder ob bereits erste Webseiten die PCs von Besuchern manipulieren.

Sobald man weitere Informationen habe, wolle man ein Update veröffentlichen. Adobe gibt leider keine Tipps, wie man sich ohne Update vor den neuen Angriffen schützten kann. Bei früheren Lücken half es oftmals, JavaScript im Reader zu deaktivieren. Anwender sollten bis zum Update einen alternativen PDF-Reader einsetzen. Das letzte Update des Adobe Reader stammt vom November, das insgesamt 29 Sicherheitslücken schloß.

Quelle : www.heise.de
Titel: Patch für Reader und Acrobat erscheint im Januar
Beitrag von: SiLæncer am 16 Dezember, 2009, 21:10
Die Entwickler von 'Adobe' haben die Sicherheitsupdates zu den kürzlich entdeckten Schwachstellen in Adobe Reader 9.2 und Acrobat 9.2 für Januar des kommenden Jahres angekündigt. Die Lücken sollen bereits angegriffen werden.

Von der Schwachstelle sollen die jeweiligen Versionen unter Windows, Mac OS X und Unix betroffen sein. Über eine entsprechend manipulierte PDF-Datei könnte ein Angreifer diese Lücke ausnutzen und möglicherweise die Systeme der Opfer übernehmen.

Den Anwendern wird bis zum Erscheinen des Updates am 12. Januar 2010 empfohlen, das JavaScript Blacklist Framework zu verwenden oder JavaScript in den beiden Anwendungen zu deaktivieren.

Unter Windows XP SP3, Vista und Windows 7 soll wegen der Datenausführungsverhinderung nur das Risiko einer Denial of Service-Attacke bestehen.

Quelle : http://winfuture.de
Titel: Trotz zunehmender Angriffe kein Update für Adobes Reader
Beitrag von: SiLæncer am 21 Dezember, 2009, 16:56
Zwar wird die Lücke im Adobe Reader schon von ersten Webseiten zur Infektion von Windows-PCs ausgenutzt, dennoch will der Hersteller weiterhin keinen "Emergency Patch" vor dem 12. Januar 2010 veröffentlichen. Als Begründung gibt das Unternehmen an, dass andernfalls andere Lücken offen blieben.

Adobe will die Lücke erst im Rahmen des Updates am 12. Januar schließen, um nicht den ganzen Zeitplan durcheinander zu bringen. Würde man den Emergency Patch einschieben, müsste man den regulären, dreimonatigen Patch-Zyklus erweitern – womit dann andere, bislang unbekannte Lücke weitere Wochen ungepatcht blieben, erklärt Brad Arkin, Leiter der Produktsicherheit bei Adobe. Ob diese Lücken noch kritischer sind, als die bekannte, ist unbekannt. Beim letzten Patchday im Oktober hatte Adobe 29 Lücken im Reader geschlossen. Mit veröffentlichten Workarounds hat man aber nach Meinung des Herstellers zwei funktionierende Lösungen für das Problem.

Um bis zum 12. Januar nicht Opfer eines Angriffs zu werden, schlägt Adobe zumindest für Windows-Anwender das Anschalten der Datenausführungsverhinderung (DEP) oder das Abschalten von JavaScript im Reader oder Acrobat (Bearbeiten–>Voreinstellungen–>JavaScript) vor. Als Workaround-Alternative gibt Adobe zudem an, eine vom Hersteller zur Verfügung gestellte Windows-Registry-Datei einzuspielen, die einen Schlüssel erzeugt, der die verwundbare JavaScript-Funktion auf eine Blacklist setzt; diese lässt sich dann nicht mehr aufrufen. Das kommende Sicherheits-Update soll bei der Installation diesen Wert dann wieder zurücksetzen.

Der erste beobachtete Angriff einer Webseite auf Besucher ging von dem News-Portal timesunion.com aus, das Comic-Inhalte des Dienstleisters King Features einblendete. Laut Bericht waren Kriminelle in die Datenbank von King Features eingedrungen, um präparierte PDF-Dokumente einzuschleusen. Die automatisch an diverse Portale verteilten Dokumente gelangten dann auch auf die Seiten von timesunion.com. Wie die Kriminellen in die Datenbank gelangten, wird derzeit noch untersucht.

Quelle : www.heise.de
Titel: Adobe: Neue automatische Updatefunktion geplant
Beitrag von: SiLæncer am 05 Januar, 2010, 16:04
Adobe reagiert auf die zunehmende Anzahl von Angriffen auf die hauseigenen Produkte und plant aus diesem Grund ein neues Update-Verfahren. Hierbei sollen die jeweils neuen Updates automatisch im Hintergrund eingespielt werden.

Mit der Arbeit an dieser neuen Updatefunktion haben die Entwickler von Adobe den eigenen Angaben zufolge bereits begonnen. Schon in Kürze sollen erste Betatester eine Vorabversion dieses neuen Features beim Reader von Adobe testen können. Grundsätzlich erhalten die Anwender aber auch bei diesem Verfahren eine Kontrolle über den Updateprozess.

In einem Interview (http://threatpost.com/en_us/blogs/despite-danger-adobe-says-javascript-support-important-010410) hat sich der Sicherheitschef von Adobe, Brad Arkin, näher über dieses neue Verfahren ausgelassen. Abgesehen von einer automatischen Installation der Updates können sich die Anwender auch nur über neue Versionen informieren lassen, teilte Arkin mit. Ferner soll es sogar möglich sein, die Updatefunktion vollständig zu deaktivieren.

Arkin verteidigte auch den häufig aus Sicherheitsgründen kritisierten Einsatz von JavaScript in den Adobe-Produkten Reader und Acrobat. Würde man die JavaScript-Unterstützung aus den Anwendungen entfernen, so würde es zu massiven Kompatibilitätsproblemen kommen.

Nähere Informationen und eine Roadmap zu diesem Vorhaben will Adobe in absehbarer Zeit veröffentlichen.

Quelle : http://winfuture.de
Titel: Adobe patcht Illustrator-Lücken
Beitrag von: SiLæncer am 08 Januar, 2010, 16:40
Adobe hat ein Update für den Illustrator CS3 und CS4 bereit gestellt, das zwei Sicherheitslücken schließt. Betroffen sind sowohl die Windows- als auch die Mac-OS-X-Versionen. Eine der Lücken ist seit Anfang Dezember bekannt und beruht auf einem Buffer Overflow bei der Verarbeitung präparierter Dateien im "Encapsulated Postscript"-Format (eps). Dafür ist auch ein Exploit verfügbar, der auf einem angegriffenem Rechner eine Shell an den Netzwerk-Port 4444 bindet. Angreifer haben darüber aus der Ferne Zugriff auf den Windows-Rechner. Auch die zweite Lücke beruht auf einem Buffer Overflow.

Das Update besteht unter Windows nur aus einer einzigen Datei (MPS.dll), die man manuell in den Installations-Ordner des Illustrator kopieren soll. Ein Anleitung dazu liefert Adobe in seinem Original-Fehlerbericht. Unter Mac OS X müssen Anwender einen ganzen Ordner in den Installationpfad kopieren. Auch dies ist im Adobe-Bericht beschrieben.

Quelle : www.heise.de
Titel: Sicherheits-Update für Adobe Reader und Acrobat verfügbar
Beitrag von: SiLæncer am 13 Januar, 2010, 10:53
Adobe hat das lange erwartete Update 9.3 für den Adobe Reader und Acrobat veröffentlicht, das eine bereits seit mehreren Wochen ausgenutzte Lücke schließt. Daneben stopft das Update sieben weitere Sicherheitslücken. Durch fünf davon kann ein Angreifer ein System mittels präparierter PDF-Dateien infizieren. Dazu ist nicht unbedingt das manuelle Öffnen einer präparierten Datei erforderlich, es genügt der (ungewollte) Aufruf einer manipulierten Webseite, sofern die Reader-Plug-ins für Browser installiert sind. Neben der Version 9.2 sind die Fehler auf in den Versionen Adobe Reader 8.1.7 und Acrobat 8.1.7 für Windows und Mac OS X zu finden.

Die neuen Versionen stehen für Windows, Mac OS X und Linux zum Download bereit. Der Hersteller empfiehlt, so schnell wie möglich auf die Versionen 9.x zu wechseln. Anwender der Versionen 8.x, die aus bestimmten Gründen nicht auf die Versionen 9.x wechseln können, sollten die aktualisierten Fassungen 8.2 für Windows und Mac installieren. Für Linux-Anwender ist der Support für 8.x jedoch ausgelaufen. Ihnen bleibt nur das Update auf 9.3.

Erstmals testet Adobe bei Beta-Testern ein Silent Updates des Adobe Readers, der ohne Nachfrage beim Anwender die Software auf den neuesten Stand bringt. Sofern die Tests problemlos verlaufen, will der Softwarehersteller die Funktion in die offizielle Version des Readers integrieren. Anwender sollen jedoch die Möglichkeit haben, die Option zu deaktivieren.

Unterdessen meldet Adobe, dass es Anfang des Jahres einen Angriff auf das Unternehmensnetzwerk bemerkt habe. Die ausgefeilte und koordinierte Attacke soll auch anderen Unternehmen gegolten haben. Ob es sich um den gleichen Angriff wie auf Google handelt, schreibt Adobe nicht. Es seien jedoch keine wichtigen Daten abhanden gekommen, der Vorfall werde jedoch weiter untersucht. Anhand der gewonnenen Erkenntnisse soll die eigene Infrastruktur zusätzlich abgesichert werden.

Quelle : www.heise.de
Titel: Adobe schließt kritische Lücken in Shockwave
Beitrag von: SiLæncer am 20 Januar, 2010, 18:03
Während noch alle Welt von Lücken im Internet Explorer und Flash redet, beseitigt  Adobe schnell mal eben und ohne Vorwarnung zwei kritische Sicherheitslücken in Shockwave, über die Angreifer Code einschleusen und ausführen könnten. Betroffen sind sowohl die Windows als auch die Mac-Versionen von Shockwave bis einschließlich 11.5.2.602.

Die Fehler wurden offenbar von Sicherheitsexperten bei Secunia entdeckt , die das Problem als "höchst kritisch" einstufen. Als Update-Prozedur empfiehlt der Hersteller, zunächst die alte Version zu deinstallieren, den Rechner neu zu starten und dann erst die neue Version 11.5.6.606 einzuspielen.  Einen Grund für dieses umständliche Procedere gibt Adobe nicht an.

Offenbar hat Adobe diesmal ausnehmend schnell reagiert: Laut Secunia wurde das Problem erst am 12. Januar bei Adobe gemeldet. Adobe hat zwar im Sommer einen dreimonatlichen Patchday eingeführt, doch der bezieht sich nur auf den PDF Reader.

Quelle : www.heise.de
Titel: Adobe: Sicherheitslücke in Flash & Reader
Beitrag von: SiLæncer am 12 Februar, 2010, 08:12
Adobe warnt vor einer kritischen Sicherheitslücke in den Anwendungen Flash Player und Reader. Für das bekannte Browser-Plug-In steht bereits eine aktualisierte Version zur Verfügung, der Patch für den Reader erscheint nächste Woche.

Laut dem Security Bulletin APSB10-06 (http://www.adobe.com/support/security/bulletins/apsb10-06.html) sind von der Flash-Lücke alle Versionen bis einschließlich 10.0.42.34 betroffen. Man empfiehlt allen Nutzern umgehend die Installation des Flash-Players 10.0.45.2. Auch in Adobe AIR ist das Problem aufgetaucht. Hier sollte die neue Version 1.5.3.1930 so schnell wie möglich installiert werden.

Von der Lücke im Adobe Reader, auf die im Security Bulletin APSB10-07 (http://www.adobe.com/support/security/bulletins/apsb10-07.html) hingewiesen wird, sind die Versionen Reader 9.3 für Windows, Mac und Unix, Acrobat 9.3 für Windows und Mac, Reader 8.2 für Windows und Mac sowie Acrobat 8.2 für Windows und Mac betroffen.

Am Dienstag, den 16. Februar, will Adobe ein Update veröffentlichen, mit dem diese Sicherheitslücke geschlossen werden soll. Genauere Angaben zur Art und Ursache der Probleme machen die Entwickler nicht.

Quelle : http://winfuture.de
Titel: Adobe schließt kritische Lücke in Flash
Beitrag von: SiLæncer am 12 Februar, 2010, 11:37
Das Sicherheits-Update 10.0.45.2 für Adobes Flash-Player und 1.5.3.1930 für AIR schließt eine kritische Sicherheitslücke, durch die Flash-Applets bestimmte Sicherheitsfunktionen aushebeln können, um ohne Nachfrage auf andere Webseiten zuzugreifen. Ein präpariertes Flash auf einer bösartigen Seite könnte die in einem weiteren Browserfenster angezeigten Informationen einer anderen Seite auslesen, beispielsweise Bankdaten und Ähnliches.

Normalerweise dürfen Flash-Applikationen nur auf die Ressourcen des Servers zugreifen, von dem sie geladen wurden. Um das Nachladen von Inhalten etwas flexibler zu gestalten, erlaubt das Flash-Framework seit Version 7 sogenannten Cross-Domain-Requests, wozu die von einem Flash-Applet angefragte Seite die Datei crossdomain.xml ausliefert. Darin ist festgelegt, von welchen externen Seiten respektive Servern Flash-Applets derartige Anfragen stellen dürfen, ohne dass es zu einer Warnung im Flash-Player kommt.

Üblicherweise sind diese Vorgaben sehr restriktiv, sodass der Betreiber eine Webseite dort nur die Domains von Partnern und anderen vertrauenswürdigen Seiten einträgt. Durch die Lücke lässt sich diese Einschränkung aber offenbar umgehen; ein manipuliertes Flash einer beliebigen Webseite kann auch ohne Freigabe auf Objekte anderer Seiten zugreifen. Anwender sollten also nicht zögern, das Flash-Update so schnell wie möglich zu installieren.

Daneben behebt das Update eine nicht näher beschriebene Denial-of-Service-Schwachstelle. Ob es sich eventuell um die seit mehreren Monaten ungepatchte Schwachstelle handelt, für die Adobe sich kürzlich entschuldigte, müssen weitere Tests zeigen. Eigentlich wollte der Hersteller diese Lücke erst im nächsten Major-Release 10.1 beseitigen.

Das Update für den Flash Player steht für Windows, Mac OS X und Linux zum Download (http://get.adobe.com/flashplayer/) bereit. Alternativ können Anwender auch die integrierte Update-Funktion verwenden. Das AIR-Update steht ebenfalls für Windows, Mac OS X und Linux zum Download (http://get.adobe.com/air/) zur Verfügung.

Quelle : www.heise.de
Titel: Adobe schließt zwei kritische Lücken in Reader und Acrobat
Beitrag von: SiLæncer am 17 Februar, 2010, 09:05
Betroffen sind die Versionen 9.3 sowie 8.2 und früher. Die Fehler treten unter Windows, Mac OS X und Unix auf. Eine Codeanfälligkeit ermöglicht das Einschleusen von beliebigem Schadcode nach einem provozierten Absturz.

Adobe hat wie angekündigt außer der Reihe ein Update für Reader und Acrobat veröffentlicht, das zwei als kritisch eingestufte Sicherheitslücken schließt. Betroffen sind Nutzer der PDF-Software unter Windows, Mac OS X und Linux.

Einer Sicherheitswarnung zufolge besteht in der Version 9.3 und früher von Reader sowie Acrobat eine Codeanfälligkeit, mittels der Angreifer einen Absturz provozieren können, um anschließend beliebigem Schadcode einzuschleusen und auszuführen. Darüber hinaus schließt Adobe eine Lücke, die unerlaubte Cross-Domain-Zugriffe ermöglicht. Das gleiche Loch hat der Softwareanbieter in der vergangenen Woche auch im Flash Player gestopft.

Adobe empfiehlt allen betroffenen Nutzern, Reader und Acrobat 9.3.1 zu installieren. Für Anwender, die Version 8.x der PDF-Programme einsetzen, steht ein Update auf Reader und Acrobat 8.2.1 bereit.

Als Grund für das vorgezogene Update nennt Adobe-Sprecherin Wiebke Lips den in der vergangenen Woche behobenen Fehler im Flash Player, der auch Reader und Acrobat betrifft. Adobe seien bisher keine Exploits für eine der jetzt geschlossenen Lücken bekannt.

Quelle : www.zdnet.de
Titel: Adobe verteilt noch immer alte Reader
Beitrag von: SiLæncer am 17 Februar, 2010, 21:42
Der Sicherheitsdienstleister Secunia meldet, dass Adobe immer noch alte Versionen des Readers verteilt, die bekannte Sicherheitslücken enthalten. Bereits am Dienstag hatte Adobe mit einer Sicherheitsnotiz vor einer kritischen Sicherheitslücke in Version 9.3 gewarnt und deshalb außer der Reihe Version 9.3.1 veröffentlicht. Doch die bekommt man derzeit nur über den Update-Mechanismus.

Als heise Security testweise über die offizielle Download-Seite die dort angebotene Version installierte, landete tatsächlich ein alter, unsicherer PDF-Reader auf der Platte. Der Update-Check von heise-Security bestätigte diesen Sachverhalt und meldete prompt die verwundbare Version 9.3.0. Kurz darauf sprang dann auch der eingebaute Update-Mechanismus von Adobe an, und informierte, dass eine neue Version zur Installation bereit stehe.

Ein ähnliches Problem hatte Adobe bereits im Sommer 2009. Anwender sollten nach der Installation des PDF-Readers also am besten gleich manuell ein Update anstoßen – oder sicherheitshalber gleich ein alternatives Produkt wählen.

Quelle : www.heise.de
Titel: Sicherheitsprobleme in Adobe Download Manager
Beitrag von: SiLæncer am 19 Februar, 2010, 12:39
Neue Sicherheitsprobleme halten Adobes Entwickler weiterhin in Atem. Eine Lücke in Adobes Download Manager (DLM) lässt sich nach Angaben des israelischen Sicherheitsspezialisten Aviv Raff ausnutzen, um über eine präparierte Webseite beliebige Software auf einen Windows-Rechner zu installieren. Eigentlich sollte dies nur der von Adobe signierten Software vorbehalten sein und auch nur, wenn sie von Adobe-Seiten stammt. Durch einen oder mehrere Fehler ist es aber offenbar möglich, weitere Software auf den Rechner zu laden und zu starten. Raff hat dies nach eigenen Angaben mit einer eigenen Version des Windows-Taschenrechners geschafft.

Details zu der Lücke will Raff aber erst veröffentlichen, wenn Adobe sie geschlossen hat. Adobe hat das Problem bestätigt und arbeitet zusammen mit dem Sicherheitsspezialisten und dem eigentlichen Hersteller des Download Managers an einer Lösung. Ganz so einfach lässt sich die Lücke allerdings nicht ausnutzen, denn üblicherweise ist der DLM nicht fest auf einem System installiert. Er klinkt sich erst beim Aufruf etwa der Flash-Player-Seite als ActiveX-Control ein – was in den Standardeinstellungen des Internet Explorer aber eine Nachfrage beim Anwender um Erlaubnis provoziert. Zudem ist das Control nur bis zum nächsten Neustart des Windows-Rechners aktiv, danach ist es vom Rechner verschwunden. Für das Firefox-Plug-in gilt unter Windows ähnliches.

Solange der DLM jedoch beispielsweise nach der Installation oder dem Update des Flash Player aktiv ist, lassen sich weitere Adobe-Anwendungen auf dem Rechner installieren. Allerdings informiert der DLM den Anwender darüber, was er gerade herunterlädt und installiert. Für Letzteres fragt er unter Windows XP jedoch nicht um Erlaubnis, wie heise Security in einem kurzen Test festgestellt hat. Unter Windows 7 und Vista fragt immerhin die UAC nach, ob das erlaubt sei.

Laut Raff birgt dieser Automatismus des DLM weiteres Missbrauchspotenzial. Solange der DLM aktiv ist, könne ein Angreifer ein Opfer auf die Seite von Adobe umleiten, um ihnen dort das Plug-in für den Adobe Reader installieren zu lassen. Ist der Angreifer im Besitz eines Zero-Day-Exploits für den Reader, wie zuletzt bei der Schwachstelle im Dezember, könnte er im Anschluss die Lücke im Reader-Plug-in gleich ausnutzen, um den PC unter seine Kontrolle zu bekommen. Selbst Anwender, die aus Sicherheitsgründen das Plug-in des Foxit-Reader statt des Adobe Reader installiert haben, wären so plötzlich wieder angreifbar.

Quelle : www.heise.de
Titel: Adobe schließt Lücke im Download Manager
Beitrag von: SiLæncer am 24 Februar, 2010, 16:01
Adobe hat eine Sicherheitslücke im Download Manager (DLM) geschlossen, durch die präparierte Webseiten beliebige Software auf einen Windows-Rechner installieren können. Das Problem war Ende der vergangenen Woche bekannt geworden. Die Lösung des Problems hat damit zwar nicht mal eine Woche gedauert, allerdings kann man diesen Erfolg nicht wirklich Adobes Entwickler zu Gute schreiben, denn der eigentliche Hersteller des DLM ist NOS Micro. Der ist allerdings auch für den Fehler verantwortlich; Adobe nutzt dessen getPlus-Browser-Plug-ins für den DLM.

Normalerweise sollten die Plug-ins nur unmittelbar nach der Installation des Flash Player oder des Reader über Adobes Seiten auf dem Windows-Rechner zu finden und nach dem Neustart des Systems verschwunden sein. Die Plug-ins werden nur bei Bedarf als ActiveX-Control im Internet Explorer oder als Addon im Firefox installiert. Adobe empfiehlt aber trotzdem, das System auf die Präsenz des DLM zu untersuchen. Anleitungen zum Aufspüren und zum Entfernen hält Adobe in seinem Fehlerbericht bereit.

Apropos Updates: Der Sicherheitsdienstleister Secunia berichtet in seinem Blog, dass die neue Version des Adobe Reader 9.3.1 eine seit vier Jahren bekannte Schwachstelle in der Bibliothek libtiff beseitigt. Ein Exploit für die alte Lücke hätte sogar in der Version 9.3.0 funktioniert. Ob es sich bei dem Leck um die nicht näher beschriebene Lücke des letzten Fehlerberichts handelt oder eine heimlich geschlossene, ist unklar.

Quelle : www.heise.de
Titel: Adobe kündigt Sicherheitsupdates für Acrobat und Reader an
Beitrag von: SiLæncer am 09 April, 2010, 08:52
Sie erscheinen am kommenden Dienstag. Es bestehen kritische Lücken in den Versionen 9.3.1 und 8.2.1 der PDF-Anwendungen unter Windows, Mac OS X und Linux. Zudem führt Adobe im Rahmen seines vierteljährlichen Patchdays eine neue Updatefunktion ein.

Adobe wird am kommenden Dienstag Sicherheitsupdates für Adobe Reader und Acrobat in den Versionen 9.3.1 und 8.2.1 veröffentlichen. Sie stopfen als kritisch eingestufte Lücken unter Windows, Mac OS X und Linux.

Darüber hinaus hat das Unternehmen für seinen vierteljährlichen Patchday eine neue Updatefunktion für Reader und Acrobat angekündigt. Anwender können künftig einstellen, ob Patches automatisch installiert oder nur heruntergeladen werden sollen, um sie zu einem späteren Zeitpunkt manuell einzuspielen. Auf Wunsch lassen sich die automatischen Aktualisierungen auch ausschalten.

"Während des Patchdays am 12. Januar und des außerplanmäßigen Updates am 16. Februar haben wir einen Betatest der Updatefunktion durchgeführt", schreibt Produktmanager Steve Gottwals in einem Blogeintrag. Dabei seien verschiedene Netzwerkkonfigurationen getestet worden. Man habe die Betaphase erfolgreich abgeschlossen und einige Änderungen einbezogen, die sich positiv auf das Nutzererlebnis auswirkten.

Mit der neuen Updatefunktion reagiert das Unternehmen auf eine zunehmende Zahl von Malware-Angriffen auf Adobe Reader, Acrobat und Flash Player. Studien haben gezeigt, dass im Hintergrund durchgeführte Aktualisierungen die beste Methode sind, um eine möglichst große Verbreitung von Sicherheitsupdates zu erreichen. Ähnliche Verfahren setzen beispielsweise Mozilla und Google für ihre Browser Firefox und Chrome ein. Auch Microsoft schließt in der Voreinstellung Sicherheitsanfälligkeiten seiner Produkte ohne weitere Rückfragen beim Nutzer.

Quelle : www.zdnet.de
Titel: Adobe stopft 15 Löcher in Reader und Acrobat
Beitrag von: SiLæncer am 14 April, 2010, 09:41
Sie bestehen in den Versionen 9.3.1, 8.2.1 und früher unter Windows, Mac OS X und Unix. Angreifer können über Speicherfehler und Pufferüberläufe beliebigen Schadcode einschleusen und ausführen. Zudem aktiviert Adobe eine neue Updatefunktion.

Adobe hat wie angekündigt an seinem zweiten Patchday des Jahres 2010 ein Update für Adobe Reader und Acrobat veröffentlicht. Die Version 9.3.2 der PDF-Anwendungen behebt 15 Schwachstellen in Reader 9.3.1 und früheren Versionen unter Windows, Mac OS und Unix sowie Acrobat 9.3.1 und früher unter Windows und Mac OS X. Nutzern von Reader und Acrobat 8.2.1 empfiehlt das Unternehmen ein Update auf die Version 8.2.2.

Einer Sicherheitswarnung zufolge stuft Adobe das Update als kritisch ein. Anwender sollten es so schnell wie möglich über die automatische Updatefunktion oder die Adobe-Website  herunterladen. Die Schwachstellen ermöglichen unter anderem Cross-Site-Scripting (XSS) und Denial-of-Service-Angriffe (DoS). Zudem adressiert das Update mehrere Speicherfehler und Pufferüberläufe, durch die ein Angreifer beliebigen Schadcode einschleusen und ausführen kann.

Darüber hinaus hat Adobe mit dem vierteljährlichen Patchday einen neuen Updater aktiviert. Er wurde im Oktober 2009 ausgeliefert und nach Unternehmensangaben im Januar und Februar getestet. Die neue Funktion ermöglicht es, Updates automatisch im Hintergrund und ohne Interaktion mit einem Nutzer zu installieren. Anwender können den Updater aber auch so konfigurieren, dass Patches nur heruntergeladen werden, um sie zu einem späteren Zeitpunkt manuell einzuspielen. Auf Wunsch lassen sich die automatischen Aktualisierungen auch abschalten.

"Die meisten Nutzer, die bei der Verwendung von Adobe-Produkten einem Sicherheitsproblem ausgesetzt waren, wurden über eine bekannte Schwachstelle angegriffen, die in einer aktuellen Version der Software geschlossen war", schreibt Adobe-Sicherheitschef Brad Arkin ein einem Blogeintrag. Deswegen habe sein Unternehmen viel Zeit in die Entwicklung des neuen Updaters investiert.

Quelle : www.zdnet.de
Titel: Adobes Update-Automatismus per Standard deaktiviert
Beitrag von: SiLæncer am 14 April, 2010, 13:12
Mit den neuesten Updates hat Adobe einen Update-Automatismus für Adobe Reader und Acrobat eingeführt. Experten bemängeln, dass diese sinnvolle Funktion per Standard deaktiviert ist.

Kaspersky bemängelt, dass diese Funktion aber nicht per Standard aktiviert ist. Viele Anwender werden somit gar nicht wissen, dass es diesen Updater seit Reader und Acrobat 9.3.1 und 8.2.1 gibt. Dies gilt für Mac- und Windows-Versionen gleichermaßen.
Adobe denke für die Zukunft nach, ein Pop-Up zu zeigen, und die Anwender auf diese Funktion hinzuweisen. Reader und Acrobat stehen gehören zu den Lieblingsprogrammen von Angreifern. Diese Programme werden regelmäßig genutzt, Schadcode auf Rechner zu schleusen. Es ist auch schon ein erster Trojaner aufgetaucht, der exe-Dateien aus PDFs starten kann.

Quelle : www.tecchannel.de
Titel: Kriminelle versuchen ungepatchte Reader-Lücke auszunutzen
Beitrag von: SiLæncer am 16 April, 2010, 11:49
Mehreren Berichten von Antivirenherstellern zufolge versuchen Kriminelle, die seit rund zwei Wochen bekannte und bislang ungepatchte Schwachstelle in Adobes Reader auszunutzen, um Windows-PCs zu infizieren. Unter den Schädlingen findet sich auch der als besonders gefährlich eingestufte Bot ZeuS.

Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Sophos hat ein Beispiel in seinem Blog veröffentlicht. Dabei soll ein Anwender dazu verleitet werden, den OK-Button anzuklicken. Die präparierten Dokumente gelangen offenbar im Anhang einer Mail auf den Rechner.

M86Security berichtet von einem PDF-Dokument, das versucht, den ZeuS-Bot zu installieren. Beim Öffnen versucht das Dokument ein weiteres PDF-Dokument zu speichern, das den eigentlichen Schädling enthält. Die Verschachtelung dient vermutlich dazu, Virenscanner auszutricksen. Interessanterweise öffnet sich beim Reader beim Speichern ein Anwenderdialog, während Foxit die Datei automatisch ohne Nachfrage speichert. Immerhin erscheint dann beim Startversuch des im PDF versteckten Bots auch in der aktuellen Version des Foxit ein Dialog – ältere Versionen führen eingebettete Dateien ohne Warnung aus.

Adobe stuft die Lücke aufgrund des Warndialoges im Reader nicht als kritisch ein. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde. Immerhin warne der Adobe Reader ja, dass man Dateien nur aus vertrauenswürdigen Quellen starten solle. Der Hersteller empfiehlt unter Bearbeiten/Voreinstellungen/Berechtigungen die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" zu deaktivieren – standardmäßig ist sie aktiviert.

Bislang scheinen die Angriffe zwar noch nicht besonders ausgereift. Nach Meinung von Jeremy Conway, der kürzlich eine verfeinerte Version des zuerst von Didier Stevens veröffentlichten Exploits präsentierte, dürfte sich dies bald ändern und überzeugendere Malware auftauchen.

Quelle : www.heise.de
Titel: Adobe Shockwave Player: Ohne Updates offen wie ein Scheunentor
Beitrag von: SiLæncer am 12 Mai, 2010, 09:52
Adobe hat das Update 11.5.7.609 für den Shockwave-Player veröffentlicht, das 18 Sicherheitslücken schließen soll. 17 der Lücken stuft Adobe als kritisch ein, da präparierte Webseiten dadurch Code in ein System schleusen und starten können. Ursache der Probleme sind Buffer und Integer Overflows sowie Speicherfehler in diversen Funktionen zur Verarbeitung von Shockwave-Dateien.

Der Shockwave-Player bietet einen erweiterten Funktionsumfang als der Flash-Player. Typischerweise wird er zur Darstellung komplexerer, interaktiver Präsentationen, Spiele und anderer Anwendungen benutzt und steht wie der Flash-Player als Browser-Plug-in zur Verfügung. Adobes Namensgebung (das Firefox-Plug-in für den Flash-Player heißt unglücklicherweise "Shockwave Flash") führt allgemein zur Verwirrung bei Anwendern. In der Mehrzahl haben Anwender jedoch nur den Flash-Player installiert und sind somit von der Lücke nicht betroffen. Andersherum ist der Flash-Player aber immer im Lieferumfang des Shockwave-Player enthalten. Ob Shockwave installiert ist, kann man online testen: Test Adobe Shockwave Player.

Darüber hinaus stellt Adobe Sicherheits-Fixes für ColdFusion ( 8.0, 8.0.1, 9.0 auf allen unterstützten Betriebssystemen) bereit, die zwei Cross-Site-Scripting-Lücken und ein Datenleck beseitigen sollen.

Quelle und Links : http://www.heise.de/newsticker/meldung/Adobe-Shockwave-Player-Ohne-Updates-offen-wie-ein-Scheunentor-998415.html
Titel: Adobe denkt über kürzere Update-Zyklen und die Nutzung von Microsoft Update nach
Beitrag von: SiLæncer am 27 Mai, 2010, 11:56
Laut Brad Arkin, bei Adobe verantwortlich für Produktsicherheit und Datenschutz, überlegt man derzeit, die Dauer zwischen Sicherheitsupdates für den Adobe Reader von 90 Tagen auf 30 Tage zu verkürzen. Adobe hat Mitte 2009 den Dreimonatszyklus gestartet und veröffentlicht seitdem gleichzeitig mit Microsoft am zweiten Dienstag eines betreffenden Monats Updates für den Adobe Reader und Acrobat.

Angesichts der in letzter Zeit gehäuft auftauchenden Sicherheitslücken erhöhten wichtige Kunden offenbar den Druck auf Adobe, die Sicherheitsflicken in kürzeren Abständen zu veröffentlichen. Arkin bestätigte gegenüber heise Security, dass ein monatlicher Rhythmus eine der momentan diskutierten Alternativen ist. Adobe sei inzwischen außerdem in der Lage, Updates in Notfällen zuverlässig binnen 15 Tagen zu entwickeln und außer der Reihe zu veröffentlichen. Zum Vergleich: Im Frühjahr 2009 benötigten die Adobe-Mannen um Brad Arkin noch 80 Tage, um einen Patch für die JBIG2-Lücke zu entwickeln.

Außerdem will Adobe neben dem Adobe Reader noch weitere Produkte wie Flash und Shockwave mit in den Update-Reigen aufnehmen. Bislang veröffentlicht der Hersteller Patches für die diese Software vollkommen unregelmäßig. Ob außer dem Adobe Reader noch weitere Produkte mit Hilfe des neuen Update-Mechanismus automatisch mit Sicherheitsflicken bedient werden, wurde nicht bekannt.

Brad Arkin hat im Gespräch mit heise Security großes Interesse daran geäußert, die Patches für Adobe-Produkte auch "durch andere Kanäle" auf die PCs der Anwender zu bringen. Zwar nannte Arkin Microsoft Update nicht beim Namen. Er verwies gleichzeitig mit seinem Wunsch nach anderen Kanälen aber darauf, dass Adobe seine Updates bereits mit Hilfe der systemeigenen Mechanismen von Mac OS X und Red-Hat-Linux verteilt.

Microsoft selbst will sich zu einer möglichen Öffnung von Microsoft Update nicht offiziell äußern. Firmenvertreter verwiesen lediglich auf die große Komplexität und die zahlreichen organisatorischen sowie rechtlichen Hürden, die ein solches Unterfangen mit sich brächte. Außerdem scheuen die Redmonder offenbar auch das Risiko, dass ein eventuell verrücktspielendes Update eines so weit verbreiteten Produkts wie den Adobe Reader bedeuten könnte.

Eine gemeinsame Schnittstelle zwischen Adobe und Microsoft gibt es aber doch: Laut Arkin will man bis Ende 2010 soweit sein, um Adobe-Updates per Microsoft System Center Updates Publisher (SCUP) zu verteilen. Hiervon sollen Kunden von Microsoft System Center Configuration Manager (SCCM) und Microsoft System Center Essentials (SCE) profitieren, da sie Updates damit schneller und somit günstiger im Unternehmensnetz installieren können.

Quelle : www.heise.de
Titel: Sicherheits-Update für Adobe Photoshop CS4
Beitrag von: SiLæncer am 31 Mai, 2010, 12:18
Adobe  hat Photoshop CS4 Version 11.0.2 für Windows  und Mac OS X veröffentlicht, um Lücken bei der Verarbeitung von Dateien in den Formaten ASL, ABR und GRD zu schließen. Ein Angreifer könnte durch manipulierte Dateien einen Rechner unter seine Kontrolle zu bekommen. Dazu muss das Opfer die Datei allerdings manuell mit Photoshop öffnen. Photoshop CS5 ist nicht betroffen.

Bei den Lücken handelt es sich allesamt um Buffer Overflows, durch die sich Code einschleusen und starten lässt.

Quelle : www.heise.de
Titel: Zero-Day-Lücke in Flash Player, Reader und Acrobat
Beitrag von: SiLæncer am 05 Juni, 2010, 17:18
Nach Informationen von Adobe gibt es eine Schwachstelle in Flash Player 10.0.45.2 und früheren Versionen sowie in der mit dem Reader und Acrobat 9.x ausgelieferten Bibliothek authplay.dll. Betroffen sind bei allen Produkten die Versionen für Windows, Mac OS X und Unix-Betriebssysteme inklusive Linux. Angreifer können durch Ausnutzen der Lücke das Programm abstürzen lassen und möglicherweise die Kontrolle über das System erlangen, schreibt Adobe. Es gebe bereits Berichte von Exploits, die alle drei Produkte betreffen.

Der Release-Kandidat (http://labs.adobe.com/technologies/flashplayer10) des Flash Player 10.1 soll von dem Bug nicht betroffen sein. Nutzern von Reader und Acrobat 9 empfiehlt Adobe, die Datei authplay.dll zu löschen, umzubenennen oder zu verschieben. Allerdings führe das zu einem Programmabsturz beim Öffnen einer PDF-Datei mit Flash-Inhalten. Unter Windows liegt die Datei typischerweise in C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll beziehungsweise C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll.

Reader- und Acrobat-Version 8 sollen von der Schwachstelle nicht betroffen sein.

Quelle : www.heise.de
Titel: Adobe will kritische Flash-Lücke am Donnerstag stopfen
Beitrag von: SiLæncer am 08 Juni, 2010, 16:09
Adobe hat für den kommenden Donnerstag, den 10. Juni, ein Update für den Flash Player angekündigt. Es soll die am Wochenende gemeldete Lücke in der Bibliothek authplay.dll  schließen. Die Bibliothek ist auch im Reader und Acrobat 9.x enthalten. Betroffen sind bei allen Produkten die Versionen für Windows, Mac OS X und Unix-Betriebssysteme inklusive Linux. Angreifer können durch die Lücke die Kontrolle über das System erlangen. Der Release-Kandidat des Flash Player 10.1 ist nicht betroffen. Die Versionen 8 des Adobe Reader und Acrobat sind ebenfalls nicht verwundbar.

Das Update für den Adobe Reader und Acrobat soll am 29. Juni erscheinen, also zwei Wochen vor dem regulären, alle drei Monate stattfindenden Termin. Dann sollen neben dem Problem in authplay.dll noch weitere, bislang unbekannte Lücken beseitigt sein. Adobe hat sich dafür entschieden, um nicht innerhalb weniger Wochen zwei Updates zu veröffentlichen [–] das bedeute laut Adobe für größere Unternehmen mit Patch-Management zu viel Aufwand.

Bis zum Update empfiehlt Adobe Nutzern von Reader und Acrobat 9, die Datei authplay.dll zu löschen, umzubenennen oder zu verschieben. Allerdings führt das laut Hersteller zu einem Programmabsturz beim Öffnen einer PDF-Datei mit Flash-Inhalten. Unter Windows liegt die Datei typischerweise in C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll beziehungsweise C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll.

Quelle : www.heise.de
Titel: Exploit für neue Flash-Lücke verbreitet sich schnell
Beitrag von: SiLæncer am 10 Juni, 2010, 12:38
Nach Angaben mehrerer Antivirenhersteller verbreitet sich ein Exploit zum Ausnutzen der am Wochenende gemeldeten, ungepatchten Lücke in Adobes Flash Player und dem Reader immer schneller. Erste Webseiten nutzen den Exploit bereits für Angriffe aus. Die Schwachstelle betrifft den Flash Player 10.0.45.2 und frühere Versionen sowie die zusammen mit dem Reader und Acrobat 9.x ausgelieferten Bibliothek authplay.dll.

Der Exploit beruht mehreren unabhängigen Analysen zufolge auf einer in ActionScript geschriebenen Flash-Demo zur Implementierung des Verschlüsselungsalgorithmus AES. Im Exploit wurde nur eine einzige Zeile (getproperty gegen newfunction) ersetzt, die allerdings den ActionScript-Stack durcheinander bringt. Dadurch lässt sich offenbar zusätzlicher (x86-)Code über den Just-In-Time-Compiler des Flash Player in den Speicher des PCs schreiben und starten. Eine detaillierte Analyse des Exploits gibt es hier: A brief analysis of a malicious PDF file which exploits this week’s Flash 0-day

Manipulierte Webseiten versuchen über den Exploit Programme zu starten, die weitere Schädlinge aus dem Netz nachladen, darunter Backdoors und Trojaner. Adobe hat für den heutigen Donnerstag, den 10. Juni, ein Update für den Flash Player angekündigt. Das Update für den Adobe Reader und Acrobat soll am 29. Juni erscheinen, also zwei Wochen vor dem regulären, alle drei Monate stattfindenden Termin.

Bis zum Update empfiehlt Adobe Nutzern von Reader und Acrobat 9, die Datei authplay.dll zu löschen, umzubenennen oder zu verschieben. Allerdings führt das laut Hersteller zu einem Programmabsturz beim Öffnen einer PDF-Datei mit Flash-Inhalten. Unter Windows liegt die Datei typischerweise in C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll beziehungsweise C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll.

Nach Meinung des US-CERT laufen Angriffe auch dann ins Leere, wenn man JavaScript im Reader deaktiviert und unter Windows die Datenausführungsverhinderung aktiviert.

Quelle : www.heise.de
Titel: Adobe zieht Sicherheits-Update für Reader vor
Beitrag von: SiLæncer am 25 Juni, 2010, 11:26
Wie bereits vor zwei Wochen angedeutet, hat Adobe nun für den kommenden Dienstag, den 29. Juni die Sicherheits-Updates für den Reader und Acrobat offiziell angekündigt. Sie sollen neben der seit Anfang Juni bekannten Lücke in der mit dem Reader und Acrobat ausgelieferten Bibliothek authplay.dll noch weitere schließen. Wie viele dies genau sind, gibt Adobe nicht an, es soll sich aber ebenfalls um kritische Lücken handeln. Die Updates erscheinen für Windows, Mac und Unix (bei Acrobat nur für Windows und Mac) jeweils für die Versionen 9.3.3 und 8.2.3.

Adobe gibt damit die Updates zwei Wochen vor dem regulären, alle drei Monate stattfindenden Termin heraus. Damit geht Adobe einen Kompromiss ein, um die ursprünglich aus dem Flash Player herrührende Lücke schnell zu schließen und trotzdem die bislang noch nicht veröffentlichen Lücken zu beseitigen. Andernfalls hätte der Hersteller innerhalb weniger Wochen zwei Updates veröffentlicht, was laut Adobe für größere Unternehmen mit Patch-Management zu viel Aufwand bedeutete.

Die Lücke wird zumindest im Flash Player bereits aktiv von Webseiten zur Infektion der PCs von Besuchern ausgenutzt, sofern Anwender noch nicht die aktuelle Version 10.1 installiert haben.

Quelle : www.heise.de
Titel: Updates für Adobe Reader und Acrobat schließen 17 kritische Lücken
Beitrag von: SiLæncer am 30 Juni, 2010, 09:50
Adobe hat die Updates 9.3.3 und 8.2.3 für Reader und Acrobat veröffentlicht, die 17 Lücken schließen. Alle Lücken lassen sich nach Angaben von Adobe zum Einschleusen und Ausführen von Code missbrauchen. Dazu genügt bereits der Besuch eine präparierten Webseite mit einem verwundbaren Reader-Plug-in.

Zu den Lücken gehört der Fehler in der Bibliothek authplay.dll zum Abspielen eingebetteter Flash-Inhalte. Adobe hat sich zudem nach fast drei Monaten durchgerungen, Angreifern das Ausnutzen der /launch-Funktion zum Starten von Code zu erschweren. Die Funktion ist Bestandteil der PDF-Spezifikation, um eingebettete Skripte oder EXE-Dateien zu starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Bislang stand der Hersteller auf dem Standpunkt, dass es sich eigentlich um eine nützliche Funktion handele, die nur durch den falschen Umgang zum Problem werde.

Künftig ist die Funktion "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" jedoch standardmäßig abgeschaltet. Zudem zeigen die Warndialoge nun nicht mehr vom Angreifer übergebene Parameter an, die den Anwender verwirren können, sondern nur noch, welche Anwendung gestartet wird. Foxit hatte seinen Warndialog diesbezüglich bereits vor mehreren Wochen überarbeitet.

Daneben hat Adobe in seinem Blog angekündigt, ab Mitte Juli nur noch vollständig gepatchte Versionen im Downloadcenter anzubieten. Bislang waren jeweils nur die Major-Versionen (beispielsweise 9.3) zum Download verfügbar, die nach der Installation weitere Patches (etwa auf 9.3.3) nachluden. Der Hersteller zeigt sich zudem erfreut über die Wirkung seines im Reader und Acrobat 9.3.2 eingeführten automatischen Updates. Anwender würden mit der neuen Funktion Updates dreimal schneller installieren als zuvor. Standardmäßig lädt der Updater eine Aktualisierung herunter und fragt beim Anwender nach, ob er sie installieren soll. Er lässt sich aber auch so konfigurieren, dass er ohne Nutzerinteraktion verfügbare Updates einspielt (Silent Update).

Quelle : www.heise.de
Titel: Adobes Schutz vor eingebetteten Skripten lückenhaft
Beitrag von: SiLæncer am 05 Juli, 2010, 15:22
Der mit dem Update 9.3.3 im Reader und Acrobat eingeführte Schutz vor Angriffen über die /launch-Aktion ist lückenhaft, wie der Sicherheitsdienstleister BKIS in seinem Blog festgestellt hat. Setzt man in PDF-Dokumente eingebettete Befehle in doppelte Anführungszeichen, so lässt sich der Schutz austricksen und das Programm startet – jedoch erst nach Bestätigung eines Warndialoges.

Weil nach Angaben von Adobe viele Kunden die Funktion für ihre Unternehmenslösungen benötigen, hatte der Hersteller eine Blacklist verbotener Anwendungen (darunter .exe, bat und viele andere) integriert, statt die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" komplett zu deaktivieren. Mit der Blacklist soll der Reader grundsätzlich alle bösartigen Aufrufe blockieren, egal wie diese Option gesetzt ist.

Offenbar arbeitet die Blacklist-Funktion aber äußerst simpel und lässt sich austricksen, wenn man die Befehle in Anführungszeichen setzt (/F("cmd.exe"). In der Folge springt der Filter nicht an und der Reader versucht den Befehl auszuführen – sofern die Option "Nicht-PDF-Dateianlagen dürfen..." noch aktiv ist. Adobe selbst gibt zu, dass die Blacklist-Lösung nicht perfekt ist und sich austricksen lässt. Sie verringere aber das Angriffsrisiko, ohne die Workflows in Firmen zu stören.

(http://www.heise.de/imgs/18/5/3/9/1/9/1/pdf-0edb92e193565dfd.PNG)
Der eigentliche Dreh und Angelpunkt: Ist diese Funktion deaktiviert, lässt sich die /launch-Funktion in keinem Fall missbrauchen.

Für Heimanwender lässt sich das Problem lösen, indem sie die Funktion unter der Option "Bearbeiten/Voreinstellungen/Berechtigungen" abschalten. Anwender in Unternehmen, bei denen dies nicht möglich ist, können die Blacklist von Adobe manuell erweitern. Der Entdecker der /launch-Lücke Didier Stevens schlägt in seinem Blog vor, der Liste unter HKLM\SOFTWARE\Policies\Adobe\product\version\FeatureLockDown\cDefaultLaunchAttachmentPerms  einfach ein .exe”:3 hinten anzustellen, damit zumindest der Aufruf von "cmd.exe" in Dokumenten fehlschlägt.

Es bleibt festzuhalten, dass sich die Lücke nach dem Update mit den neuen Tricks nur noch ausnutzen lässt, wenn der Anwender allzu sorglos die Dialoge wegklickt, denn eine Warnung kommt auf jeden Fall. Und seit dem Update auf 9.3.3 können die Dialoge auch nicht mehr in die Irre führen.

Quelle : www.heise.de
Titel: Re: Adobes Schutz vor eingebetteten Skripten lückenhaft
Beitrag von: ritschibie am 05 Juli, 2010, 17:12
Die Funktion war bei mir standardmäßig aktiviert...jetzt nicht mehr...da muss man erstmal darauf kommen! Die sollten das von Hause aus deaktivieren und dann kann ja jeder, der es braucht, das aktivieren sollte er es doch brauchen. Denke mal, der Normal-User braucht das nicht (executables in einer pdf-Datei ausführen lassen)!
Titel: Re: Adobes Schutz vor eingebetteten Skripten lückenhaft
Beitrag von: Jürgen am 05 Juli, 2010, 23:38
Ich frage mich gerade, ob auf solche Art auch externe Grafiken oder (andere) Webseitenbestandteile automatisch eingebunden werden könnten.

Für mich ist das Ganze ein gequirlter Blödsinn, denn Sinn von PDF(-Viewern) ist ja gerade die plattformübergreifende und dennoch verbindliche Verfügbarmachung von Dokumenten.
Und ausführbare Dateien stehen dazu im krassen Widerspruch.

Hinzu kommt, dass auch immer mehr Behörden PDF verwenden und damit den Bürger zwingen, das Format zu akzeptieren. Als Beispiel denke man an die ElStEr.

Fazit:
Produkte von Adobe kommen für mich als Standard-Applikation für PDF schon lange nicht mehr infrage.
Auch und gerade nicht als Browser-Plugin. Hier ist statt dessen als Standardvorgang zudem stets "speichern unter..." eingetragen.

Jürgen
Titel: Re: Adobes Schutz vor eingebetteten Skripten lückenhaft
Beitrag von: SiLæncer am 05 Juli, 2010, 23:40
Fazit:
Produkte von Adobe kommen für mich als Standard-Applikation für PDF schon lange nicht mehr infrage.

Für mich auch schon lange nicht mehr ...Alternativen gibts ja nun wirklch genug  (http://www.cheesebuerger.de/images/smilie/verschiedene/a014.gif)  --> Klick (http://www.dvbcube.org/index.php?topic=7327.0)
Titel: Adobe bietet nur noch vollständig gepatchte Reader-Version zum Download an
Beitrag von: SiLæncer am 14 Juli, 2010, 15:10
Wie bereits Ende Juni angekündigt, bietet Adobe den Reader nun nur noch in einer vollständig gepatchten Version im Downloadcenter an. Bislang waren jeweils nur die Major-Versionen (beispielsweise 9.3) zum Download verfügbar, die nach der Installation weitere Patches (etwa auf 9.3.3) nachluden. Die nachträgliche Patcherei entfällt nun. Aktuell wird gleich die Version 9.3.3 zum herunterladen angeboten.

Adobe reagiert damit auf die Kritik von Sicherheitsspezialisten, dass gerade heruntergeladene und installierte Version des Reader verwundbar waren. Weil aber neben dem Flash-Plug-in für den Browser auch das Reader-Plug-in eines der größten Einfallstore darstellt, brachte Adobe seine Anwender damit unnötig in Gefahr.

Man muss aber mittlerweile anerkennen, dass Adobe einige Anstrengungen unternommen, um für mehr Sicherheit zu sorgen. Neben regelmäßigen Updates (und zur Not auch außerplanmäßig) hat der Hersteller einen Secure Product Lifecycle (SPLC) eingeführt, um seinen Code gezielt auf Schwachstellen zu untersuchen und diese zu schließen. Bis Mitte 2009 veröffentlichte Adobe seine Sicherheits-Updates nur beim Bekanntwerden von Sicherheitslücken. Daneben hat Adobe die Update-Funktion des Reader erheblich verbessert. Auf Wunsch kann er verfügbare Updates ohne Nachfrage herunterladen und installieren (Silent Update).

Quelle : www.heise.de
Titel: Adobe Patches für Flash Player, Flash Media Server und Coldfusion
Beitrag von: SiLæncer am 11 August, 2010, 08:16
Adobe hat Patches für die Produkte Flash  Player sowie Flash Media Server veröffentlicht, um darin befindliche Sicherheitslücken zu schließen. Fünf Sicherheitslücken im Flash Player können zur Ausführung von Schadcode missbraucht werden. Für Coldfusion hat Adobe einen Hotfix veröffentlicht.

Im Flash Player 10.1 wurden insgesamt sechs Sicherheitslücken entdeckt. Fünf dieser Sicherheitslöcher können zur Ausführung von Schadcode missbraucht werden. Opfer müssen dazu nur etwa zum Aufruf einer Flash-Webseite verleitet werden. Das sechste Sicherheitsleck kann für Clickjacking-Attacken missbraucht werden. Hierbei werden Anwender beim Klick auf ein Element ausgetrickst, so dass der Nutzer auf etwas klickt, was er eigentlich nicht öffnen will.

Die vier Sicherheitslücken im Flash Media Server 3.0.5 sowie 3.5.3 sind weniger gefährlich, nur ein Sicherheitsleck kann zur Ausführung von Schadcode missbraucht werden. Mit Hilfe der übrigen drei Sicherheitslöcher können Denial-of-Service-Attacken durchgeführt werden.

Zudem beseitigt Adobe ein Sicherheitsloch in Coldfusion 8.0, 8.0.1, 9.0 sowie 9.0.1, das zum Ausspähen vertraulicher Informationen missbraucht werden kann.

Der Flash Player 10.1.82.76 steht für Windows, Linux und Mac OS X als Download zur Verfügung und soll die beschriebenen Sicherheitslücken beseitigen. Zudem bringt der aktuelle Flash Player für Mac OS X eine hardwarebeschleunigte Wiedergabe von H.264-Videos. Mit dem Update auf den Flash Media Server 3.0.6 sowie 3.5.4 für Windows und Linux werden die darin befindlichen Sicherheitslücken geschlossen.

Der Hot Fix für Coldfusion 8 und 9 kann über das entsprechende Supportdokument für Windows, Linux und Mac OS X heruntergeladen werden. Das Dokument erklärt auch die Einspielung des Updates.

Quelle : www.golem.de
Titel: Adobe Reader und Acrobat - Sicherheitspatch kommt am 19. August
Beitrag von: SiLæncer am 18 August, 2010, 11:40
Adobe veröffentlicht erst am 19. August 2010 einen Sicherheitspatch für den Adobe Reader und für Acrobat. Der außerplanmäßige Patch wurde bereits für diese Woche angekündigt, ein genaues Datum war aber noch nicht bekannt.

Mit dem Patch für den Adobe Reader und für Acrobat will der Hersteller ein Sicherheitsleck beseitigen, das Anfang August 2010 auf der US-Sicherheitskonferenz Black Hat enthüllt wurde. Das Sicherheitsloch wird als gefährlich eingestuft, denn Angreifer können darüber beliebigen Programmcode auf fremden Systemen ausführen. Der Patch war bereits für diese Woche angekündigt, aber nun wird es Ende der Woche, bis der Fehler korrigiert wird.

Nach Adobes Erkenntnissen wird das Sicherheitsleck bislang nicht aktiv ausgenutzt. Möglicherweise beseitigt der Patch noch weitere Sicherheitslücken in den PDF-Produkten Reader und Acrobat. Denn Adobe spricht davon, dass mehrere Sicherheitsprobleme behandelt werden, ohne weitere Details zu nennen.

Das eine Sicherheitsloch von der Black-Hat-Konferenz betrifft den Adobe Reader 8.2.3 und 9.3.3 sowie Acrobat 8.2.3 und 9.3.3 auf allen verfügbaren Plattformen. Der nächste reguläre Patchday von Adobe ist eigentlich der 12. Oktober 2010.

Quelle : www.golem.de
Titel: Adobe schließt kritische Lücke im PDF-Reader
Beitrag von: SiLæncer am 20 August, 2010, 08:18
Adobe hat heute einen außerplanmäßigen Patch für den PDF-Reader sowie Acrobat veröffentlicht. Damit wird eine kritische Sicherheitslücke beseitigt, die auf der Sicherheitskonferenz Black Hat Anfang August 2010 enthüllt wurde.

Durch das Öffnen eines speziell manipulierten PDF-Dokuments kann beliebiger Code ausgeführt werden, so dass Schadsoftware auf das betroffene System gelangt. Beim Schließen dieser einen Sicherheitslücke bleibt es nicht. Mit dem Patch auf Version 9.3.4 werden auch gleich noch weitere Sicherheitsprobleme beseitigt, heißt es im Security Bulletin (http://www.adobe.com/support/security/bulletins/apsb10-17.html).

Adobe betont, dass man derzeit keine Kenntnis über die Ausnutzung der jetzt geschlossenen Sicherheitslücken hat. Der nächste planmäßige Patch-Day findet man 12. Oktober statt und soll weitere Sicherheitsupdates bringen.

Sämtliche Updates können wie immer über die Update-Funktion im Reader und Acrobat eingespielt werden. Adobe bietet weiterhin nur die fehleranfällige Version 9.3.3 vom Reader zum Download an. Das Update kann dann separat über die entsprechenden Links im Security Bulletin (http://www.adobe.com/support/security/bulletins/apsb10-17.html) heruntergeladen werden.


Quelle : http://winfuture.de
Titel: Adobe patcht Shockwave Player
Beitrag von: SiLæncer am 26 August, 2010, 09:50
Adobe hat seinen Shockwave Player auf Version 11.5.8.612 aktualisiert (http://get.adobe.com/de/shockwave/) und schließt damit wieder einmal zahlreiche  Sicherheitslücken, von denen Angreifer mindestens 18 zum Einschleusen von Schadcode missbrauchen können. Ursache für die meisten Schwachstellen sind Speicherfehler in diversen Funktionen. Betroffen sind alle Versionen bis 11.5.7.609 für Windows und Mac OS.

Der Shockwave Player klinkt sich als Plugin in den Browser ein und dient der Darstellung komplexer Webanwendungen wie etwa Spielen. Die meisten Anwender haben nur den leichtgewichtigeren Adobe Flash Player installiert. Ob Shockwave installiert ist, kann man auf Adobes Testseite (http://www.adobe.com/shockwave/welcome/) herausfinden.

Quelle : www.heise.de
Titel: Neuer 0-Day-Angriff auf Adobe Reader und Acrobat
Beitrag von: SiLæncer am 09 September, 2010, 09:21
Die Sicherheitsexperten von Kaspersky warnen vor einer neuen Sicherheitslücke in Adobe Reader und Acrobat, die bereits aktiv ausgenutzt wird.

Kaspersky hat eine Sicherheits-Anweisung zur Verfügung gestellt, die auf eine Schwachstelle in Adobe Reader und Acrobat hinweist. Es handle sich um eine bisher unbekannte Sicherheitslücke, die bereits aktiv ausgenutzt wird. Die meisten PDF-Angriffe haben den Schadcode implementiert. Die 0-Day-Lücke funktioniert leicht anders. Das PDF versucht eine ausführbare Datei in das %temp%-Verzeichnis zu kopieren und diese dann zu starten.

Das Interessante an der Sache ist, dass die ausführbare Datei mit einem gültigen Zertifikat von einer US-basierten Kreditanstalt (Vantage Credit Union) signiert ist. Das bedeutet, dass die Cyberkriminellen im Besitz des privaten Schlüssels sind. Kaspersky hat sowohl Verisign als auch Vantage Credit Union informiert, um entsprechende Schritte einzuleiten.

Quelle : www.tecchannel.de
Titel: Microsoft-Tool blockiert Angriffe auf Adobe-Reader-Lücke
Beitrag von: SiLæncer am 12 September, 2010, 14:39
Microsoft hat am Freitag eine Anleitung (http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx) veröffentlicht, wie man mithilfe des Enhanced Mitigation Experience Toolkit (http://www.dvbcube.org/index.php?topic=29600.0) (EMET) die kürzlich bekannt gewordenen Zero-Day-Lücke des Acrobat Reader blockieren kann. Adobe selbst hat bislang keinen Patch veröffentlicht, verwies aber auf seiner Website  kurzfristig auf die entsprechende Microsoft-Anleitung. Da man diese aufgrund der "zeitkritischen Natur" nur begrenzt habe testen können, empfiehlt Adobe weitere Tests in der eigenen Arbeitsumgebung.

Adobe bezeichnet die Sicherheitslücke (CVE-2010-2883) als kritisch. Sie könne zu Systemabstürzen führen und ermögliche es Angreifern, die Kontrolle infizierter Systeme zu übernehmen. Außerdem gebe es bereits erste Berichte, dass diese Sicherheitslücke aktiv ausgenutzt werde. So hatte Trend Micro am vergangenen Donnerstag gemeldet, entsprechend infizierte Dateien gefunden zu haben. Betroffen sind der Adobe Reader und Adobe Acrobat in der zurzeit aktuellen Version 9.3.4 für Windows, Mac und Unix, sowie frühere Versionen.

Quelle : www.heise.de
Titel: Angreifer nutzen weitere Zero-Day-Lücke in Adobe Flash und Reader
Beitrag von: SiLæncer am 14 September, 2010, 09:19
Adobe warnt  vor einer weiteren ungepatchten Lücke, die sowohl im Flash Player als auch im Reader (sowie Acrobat) zu finden ist und von Angreifern bereits zur Infektion von Windows-Systemen ausgenutzt wird. Erst vergangene Woche warnte  Adobe vor einer anderen Lücke im Reader, die Kriminelle ebenfalls zur Verbreitung von Malware auf Windows-Systemen missbrauchen.

Bei der Lücke im Flash Player wird neben Windows, Mac OS X und Linux auch erstmals Android als betroffene Plattform aufgeführt. Konkret sind laut Adobe der Flash Player 10.1.82.76 für Windows, Mac OS X und Linux, Flash Player 10.1.92.10 für Android sowie Adobe Reader und Acrobat 9.3.4 für alle jeweils unterstützen Plattformen betroffen. Laut Hersteller wird bislang nur beim Flash Player versucht, die neue Lücke auszunutzen.

Ein Update für den Flash Player ist für den 27. September geplant, die Aktualisierung für den Reader und Acrobat soll dann am 4. Oktober folgen. Zumindest was die Verarbeitung von PDFs angeht, können Anwender bis dahin auf alternative Viewer ausweichen oder Schutzmaßnahmen ergreifen. Die können beispielsweise darin bestehen, JavaScript im Reader abzuschalten. Zwar steckt die Lücke nicht in JavaScript selbst, die kursierenden Exploits nutzen es aber dennoch.

Daneben lassen sich mit Microsofts Enhanced Mitigation Experience Toolkit (EMET) die Auswirkungen von Exploits begrenzen. Adobe hat dies als mögliche Abwehrmaßnahme am Wochenende empfohlen. EMET aktiviert verschiedene Schutzfunktionen in fertigen Binaries wie die Datenausführungsverhinderung (DEP) und die Speicherverwürfelung (ASLR). Zwar ist der vergangene Woche aufgetauchte Reader-Exploit in der Lage, DEP und ASLR auszutricksen, EMET bringt aber weitere Funktionen mit, wie Export Address Table Access Filtering (EAF) zum Blocken der Zugriffe von eingeschleustem Shellcode auf bestimmte APIs. EMET versucht auch sogenanntes Heap-Spraying zu unterbinden.

Damit kann EMET den Exploit auch auf Windows-XP-Systemen wirkungslos machen, obwohl diese gar kein ASLR unterstützen. In einem kurzen Test konnte heise Security bestätigen, dass der Exploit unter Windows XP mit einem EMET-geschütztem Reader 9.3.4 nicht mehr funktioniert. Ob EMET auch gegen den neuen Exploit und im Zusammenspiel mit dem Flash Player schützt, müssen weitere Tests zeigen. Eine Anleitung, wie man EMET installiert und konfiguriert, findet man im Blogeintrag "Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit (http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx)" auf den Seiten des "Security Research & Defense"-Teams von Microsoft.

Quelle : www.heise.de
Titel: Angreifer nutzen weitere Zero-Day-Lücke in Adobe Flash und Reader [Update]
Beitrag von: SiLæncer am 14 September, 2010, 11:54
Wegen eines Server-Ausfalls ist die EMET-Downloadseite derzeit nicht zu erreichen. Alternativ funktioniert dieser direkte Download-Link (http://download.microsoft.com/download/9/6/5/96543178-3010-4367-9B0C-5F67331EE67A/EMET%20Setup.msi).

Quelle : www.heise.de
Titel: Adobe zieht Flash-Update vor
Beitrag von: SiLæncer am 18 September, 2010, 13:41
In den aktuellen Versionen des Adobe Flash Players und des Adobe Readers für alle jeweils unterstützten Betriebssyteme gibt es eine kritische Sicherheitslücke, die Angreifer über das Internet tatsächlich ausnutzen, um in Systeme unter ihre Kontrolle zu bringen. Nun hat Adobe angekündigt, zumindest den Flash Player früher als ursprünglich geplant zu korrigieren: Bereits am kommenden Montag, den 20. September, soll eine neue Version für Windows, Mac OS, Linux, Solaris und Android zum Download bereitstehen. In Google Chrome lässt sich die Lücke schon jetzt durch ein Update auf die aktuelle Version des Browsers stopfen.

Laut Adobe steckt der Fehler nicht nur im Flash Player, sondern auch im Adobe Reader in der Version 9.3.4 (und allen älteren). Eine korrigierte Version soll es allerdings erst am 4. Oktober geben. Die soll dann auch nicht mehr anfällig sein für eine zweite derzeit virulente Lücke.

Quelle : www.heise.de
Titel: Adobe schließt kritische Lücke im Flash-Player
Beitrag von: SiLæncer am 21 September, 2010, 08:49
Adobe hat in der letzten Nacht wie angekündigt ein Update für seinen Flash-Player veröffentlicht, mit dem eine kritische Sicherheitslücke geschlossen wird. Davon sind alle bisherigen Versionen der Software betroffen.

Ursprünglich sollte dieser Patch erst in der nächsten Woche erscheinen, allerdings entdeckte man in der Zwischenzeit aktive Angriffe auf Basis des Problems. Aus diesem Grund bietet Adobe den Patch bereits jetzt an. Die Nutzer des Flash-Players sollten das Update umgehend einspielen, um vor derartigen Angriffen geschützt zu sein.

Auch der Adobe Reader und Acrobat weisen das Sicherheitsproblem auf, allerdings sind Adobe laut dem Security Advisory (http://www.adobe.com/support/security/bulletins/apsb10-22.html) keine Angriffe bekannt, die das Problem ausnutzen. Deshalb wird man diese Produkte erst am 4. Oktober mit einem Update versorgen.

Google hatte gestern ein Update für seinen Browser Chrome veröffentlicht, mit dem die Sicherheitslücke im Flash-Player bereits geschlossen wurde. Google hatte vor geraumer Zeit den Flash-Player zum festen Bestandteil seines Browsers gemacht. Man konnte den Patch früher als Adobe anbieten, da man dank der wenigen Chrome-Versionen einen kürzeren Testprozess nutzen kann als Adobe.

Der Patch für den Flash-Player auf Version 10.1.85.3 kann über die automatische Updatefunktion bezogen werden. Alternativ kann die neue Ausgabe auch komplett auf den Websites von Adobe heruntergeladen werden (http://www.dvbcube.org/index.php?topic=22607.msg141326#msg141326). Eine Übersicht der verfügbaren Downloads findet man hier (http://www.adobe.com/products/flashplayer/fp_distribution3.html). Zudem bietet Adobe auch einen Uninstaller (http://download.macromedia.com/pub/flashplayer/current/uninstall_flash_player.exe) für den Flash-Player an.

Quelle : http://winfuture.de
Titel: Kritische Reader-Lücke: Adobe zieht Patchday vor
Beitrag von: SiLæncer am 01 Oktober, 2010, 11:48
Adobe will die kritische Sicherheitslücke in den aktuellen Versionen von Reader und Acrobat bereits außerplanmäßig am 5. Oktober schließen, wie das Unternehmen mitteilte. Der für den 12. Oktober angesetzte Patchday fällt dadurch aus. Die Lücke ist bereits seit Anfang September bekannt und ermöglicht es Angreifern, durch präparierte PDF-Dateien die Kontrolle über fremde Rechner zu übernehmen.

Bereits seit mehreren Wochen wird die Lücke aktiv zur Verbreitung von Malware ausgenutzt, wodurch Adobe in Zugzwang geraten ist. Auch der integrierte Flash-Player ist verwundbar und soll mit dem Update auf den neuesten Stand gebracht werden. Selbst wenn man den auf dem System installierten Flash Player bereits aktualisiert hat, nutzten Adobe Reader und Acrobat noch alte Versionen, die der Hersteller separat pflegt.

Vorrübergehend kann man sich auch mit Microsoft EMET-Tool vor einer Infektion durch verseuchte PDF-Dateien Schützen. Wie das genau funktioniert, erklärt der Artikel Schadensbegrenzer bei heise Security.

Adobe muss den im Vorjahr eingeführten Patchday wieder einmal vorziehen und wirft damit erneut die Frage auf, ob man den anvisierten Drei-Monats-Zyklus zugunsten der Anwendersicherheit nicht ohnehin verkürzen oder ganz abschaffen sollte.

Quelle : www.heise.de
Titel: Adobe schließt 23 Lücken im Reader und Acrobat
Beitrag von: SiLæncer am 06 Oktober, 2010, 08:05
Wie erwartet, hat Adobe in der letzten Nacht seinen unregelmäßigen Patch-Day abgehalten und dabei 23 teilweise gefährliche Sicherheitslücken in den PDF-Produkten Reader und Acrobat geschlossen.

Unter den geschlossenen Sicherheitslücken befinden sich zwei Schwachstellen, die in den vergangenen Tagen bereits aktiv ausgenutzt wurden. Bereits am 8. September hatten Adobe vor dem ersten Problem im Security Advisory APSA10-02 (http://www.adobe.com/support/security/advisories/apsa10-02.html) gewarnt. Die zweite Sicherheitslücke betraf neben den PDF-Produkten auch den Flash-Player, in dem sie allerdings bereits geschlossen wurde. Details dazu gibt es im Security Advisory APSB10-22 (http://www.adobe.com/support/security/bulletins/apsb10-22.html).

Welche weiteren Sicherheitslücken Adobe am aktuellen Patch-Day geschlossen hat, wird im Security Advisory APSB10-21 (http://www.adobe.com/support/security/bulletins/apsb10-21.html) zusammengefasst. Schon allein aufgrund der Anzahl der beseitigten Probleme sollte man das Update umgehend einspielen.

Zur Freude vieler Administratoren hat Adobe auch endlich eine neue Version vom Reader und Acrobat veröffentlicht, so dass nicht ausschließlich auf die automatische Update-Funktion gesetzt werden muss. Die aktuellen Sicherheitsupdates findet man in der Ausgabe 9.4.0.

Download: Adobe Reader 9.4.0 (http://www.adobe.com/) (deutsch, 27.44 MB)

Quelle : http://winfuture.de
Titel: Zero-Day-Exploit für Adobe Shockwave
Beitrag von: SiLæncer am 22 Oktober, 2010, 11:15
Für eine bislang unbekannte Lücke im Adobe Shockwave Player ist ein Exploit für Windows erschienen. Er öffnet zu Demonstrationszwecken beim Aufruf einer manipulierten Webseite nur den Windows-Taschenrechner. Kriminelle könnten den Exploit jedoch dazu missbrauchen, um einen PC mit Malware zu infizieren. Bislang funktioniert der Exploit nur unter Windows XP SP3, bei einem kurzen Test der heise-Security-Redaktion mit Windows 7 und Internet Explorer stürzte der Browser nur ab.

Die Lücke beruht auf einem Fehler bei der Verarbeitung präparierter Datenblöcke in Director-Dateien. Adobe hat den Fehler für die Version 11.5.8.612 und vorhergehende unter Windows und Mac OS X bestätigt. Ein Update gibt es jedoch noch nicht, der Hersteller arbeitet aber bereits an einer Lösung.

In den meisten Fällen dürften Anwender den Shockwave Player und die dazugehörigen Browser-Plug-ins aber gar nicht installiert haben. Unter Firefox und Google Chrome läuft ein Angriff ins Leere. Der Internet Explorer versucht dagegen, das fehlende Plug-in sofort automatisch nachzuladen und zu installieren, fragt aber immerhin um Erlaubnis.

Der Shockwave-Player bietet einen erweiterten Funktionsumfang im Vergleich zum Flash-Player. Typischerweise wird er zur Darstellung komplexerer, interaktiver Präsentationen, Spiele und anderer Anwendungen benutzt. Ob Shockwave installiert ist, kann man online testen: Test Adobe Shockwave Player (http://www.adobe.com/shockwave/welcome/) .

Quelle : www.heise.de
Titel: Erneut kritische Lücke in Adobe Flash, Reader und Acrobat
Beitrag von: SiLæncer am 28 Oktober, 2010, 19:39
Nur wenige Wochen nach dem umfangreichen Patchday muss Adobe eine weitere kritische Lücke einräumen. Der eigentlich Schuldige ist einmal mehr der Flash Player, der eine kritische Sicherheitslücke enthält. Über die authplay-Bibliothek lässt sie sich jedoch auch über PDF-Dateien ausnutzen, die das System im Adobe Reader anzeigt. Dies nutzen Kriminelle bereits, um Rechner via E-Mail mit Schadsoftware zu infizieren.

Betroffen sind laut Adobe die Flash-Player-Versionen bis hin zu 10.1.85.3 für Windows, Macintosh, Linux und Solaris; auch die Android-Version 10.1.95.2 des Flash-Players ist anfällig. Die verwundbare authplay-Bibliothek gehört zum Lieferumfang der Reader/Acrobat-Versionen 9.x; die 8er-Versionen sind angeblich immun.

Als Workaround empfiehlt Adobe derzeit, die zugehörige Datei zu löschen oder umzubenennen. Das ist authplay.dll bei Windows, AuthPlayLib.bundle auf dem Mac und libauthplay.so.0.0.0 auf Unix-artigen Systemen. Damit stürzt der Reader zwar ab, wenn eine PDF-Datei versucht, Flash-Inhalte abzuspielen, es kann darüber aber kein Code eingeschleust werden.

Ab dem 9. November soll ein Upgrade auf den Flash Player 10.x das Problem beheben; für Reader/Acrobat verspricht Adobe einen Patch in der Woche nach dem 15. Bis dahin ist insbesondere beim Umgang mit PDF-Dateien aus unbekannten Quellen große Vorsicht geboten.

Quelle : www.heise.de
Titel: Adobes Shockwave Player - Update beseitigt elf gefährliche Sicherheitslücken
Beitrag von: SiLæncer am 29 Oktober, 2010, 11:05
Adobe hat einen Patch für den Shockwave Player für Windows und Mac OS X veröffentlicht, um insgesamt elf gefährliche Sicherheitslöcher zu beseitigen. Alle Sicherheitslecks können zur Ausführung von Schadcode missbraucht werden.

Der Shockwave Player ist eine aufgebohrte Version des Flash Players, wird also ebenfalls zur Anzeige von Flash-Inhalten verwendet. Im Shockwave Player wurden insgesamt elf Sicherheitslecks (http://www.adobe.com/support/security/bulletins/apsb10-25.html) gefunden, die allesamt als gefährlich einzustufen sind. Denn Angreifer können darüber Schadcode ausführen, wenn eine präparierte Flash-Datei damit geöffnet wird.

Der Shockwave Player 11.5.9.615 steht für Windows und Mac OS X als Download (http://get.adobe.com/shockwave/) zur Verfügung.

Quelle : www.golem.de
Titel: Sykipot nutzt Adobes 0-Day-Schwachstelle aktiv aus
Beitrag von: SiLæncer am 31 Oktober, 2010, 20:40
Adobe hat eine Sicherheitsanweisung (http://www.adobe.com/support/security/advisories/apsa10-05.html) zu einer kritischen Sicherheitslücke in Flash Player veröffentlicht. Während die Firma noch an einem Update arbeitet, nutzen Cyberkriminelle die Schwachstelle bereits aktiv aus.

Während die Angreifer übliche Techniken benutzen, um Schadcode auf den Rechner zu schleusen, gibt es dennoch erwähnenswerte Erkenntnisse von Kaspersky (http://www.securelist.com/en/blog/2335/Sykipot_exploits_an_Adobe_Flash_Zero_Day). Die Malware enthält nämliche einen eingebauten Deinstallations-Mechanismus: -removekeys. Ansonsten spielt die Binärdatei eine DLL-Datei auf den betroffenen Rechner und schickt alle fünf Minuten eine http-Anfrage an news.mysundayparty.com. Kaspersky erkennt den Installer und die DLL als Backdoor.Win32.Sykipot.an.

Quelle : www.tecchannel.de
Titel: Re: Sykipot nutzt Adobes 0-Day-Schwachstelle aktiv aus
Beitrag von: ritschibie am 31 Oktober, 2010, 21:40
Siehste: Da ist der Kasper doch zu was zunutze  ;)
Titel: Re: Sykipot nutzt Adobes 0-Day-Schwachstelle aktiv aus
Beitrag von: SiLæncer am 31 Oktober, 2010, 21:56
Das können andere sicherlich auch ...aber die kaspern nicht so rum  ;D ;)
Titel: Adobe: Loch zu, Loch auf
Beitrag von: SiLæncer am 05 November, 2010, 10:19
Langsam wird es unübersichtlich bei Adobe, welches Produkt in welcher Version nun wieviel Lücken hat. Adobe hat eine weitere, ungepatchte Lücke für den Adobe Reader bestätigt, die sich sehr wahrscheinlich zum Infizieren eines PCs ausnutzen lässt. Offenbar ist eine fehlerhafte JavaScript-Funktion (Doc.printSeps) für die als kritisch eingestufte Lücke verantwortlich. Ein Exploit kursiert bereits, er bringt die Anwendung jedoch nur zum Absturz.

Für den Flash Player hat Adobe indes die angekündigten Updates nun schon am heutigen Freitag veröffentlicht. Geplant war es ursprünglich erst für den 9.November. Das Update schließt 18 Sicherheitslücken, darunter auch die vergangene Woche gemeldete. Für Windows, Linux und Mac OS steht Flash Player 10.1.85.3, für Android Flash Player 10.1.95.1 zum Download bereit.

Von der neuen Lücke ist der Adobe Reader ab den Versionen 9.2 beziehungsweise 8.1 für Windows, Unix und Mac OS X betroffen. Adobe Acrobat ist diesmal laut Hersteller jedoch nicht verwundbar. Das heißt aber nicht, dass Acrobat sicher ist, dort steht das Update für die Lücke in authplay.dll im Flash Player noch aus, auch der Reader ist davon betroffen. Adobe hat zwar für die Woche nach dem 15. November ein Update für Reader und Acrobat angekündigt, ob dann aber auch das neue Problem behoben sein wird oder man den Termin verschiebt, ist unklar.

Immerhin hat Adobe in seiner Warnung eine Anleitung veröffentlicht, wie man unter den jeweiligen Betriebssystemen über die JavaScript-Blacklist verhindern kann, dass sich die verwundbare JavaScript-Funktion aufrufen lässt. Leider lässt die Anleitung offen, ob und welche Konsequenzen dies auf den weiteren Einsatz der Anwendung haben könnte.

Unterdessen hat der Sicherheitsdienstleister Secunia für den gerade erst aktualisierten Shockwave Player ein neues Problem gemeldet: Beim Öffnen der Einstellungen des Players tritt unter Umständen ein Zugriff auf eine entladene Bibliothek auf, was sich zum Einschleusen und Starten von Code durch eine manipulierte Webseite ausnutzen lässt.

Quelle und Links : http://www.heise.de/newsticker/meldung/Adobe-Loch-zu-Loch-auf-1131100.html
Titel: Adobe Reader und Acrobat - Patch schließt 20 Sicherheitslücken
Beitrag von: SiLæncer am 16 November, 2010, 20:44
Adobe hat einen Patch für Adobe Reader und Acrobat veröffentlicht. Damit wird unter anerem eine gefährliche Sicherheitslücke geschlossen, die seit zweieinhalb Wochen bekannt ist. Mit dem Patch werden weitere 19 Sicherheitslücken geschlossen, die zum Großteil als gefährlich eingestuft werden.

Von den 20 Sicherheitslücken im Adobe Reader 9 und in Acrobat 9 hat der Hersteller 17 Sicherheitslecks als gefährlich eingestuft. Angreifer können mittels präparierter PDF-Dateien beliebigen Code ausführen und ein fremdes System unter ihre Kontrolle bringen. 18 der 20 Sicherheitslücken betreffen auch Adobes Flash Player, für den ein Patch bereits am 5. November 2010 veröffentlicht wurde.

Das seit Ende Oktober 2010 bekannte Sicherheitsloch wird mit der aktuellen Version der PDF-Applikationen beseitigt. Auch das Sicherheitsleck auf das Adobe Anfang November 2010 hinwies, kann zur Ausführung von Schadcode missbraucht werden. Ursprünglich hieß es, dass darüber lediglich ein Denial-of-Service-Angriff möglich ist.

Mit einem Update auf die Versionen 9.4.1 vom Adobe Reader und von Acrobat sollen alle oben genannten Sicherheitslücken geschlossen werden. Die Plattformen für Windows, Linux und Mac OS X sind von den Problemen betroffen, im Adobe Reader für Android finden sich die Sicherheitslücken nicht.

Quelle : www.golem.de
Titel: Adobe warnt vor gefährlichem Sicherheitsleck im Flash Player
Beitrag von: SiLæncer am 06 Januar, 2011, 11:40
Mit Tricks ist es möglich, dass lokal geladene Flash-Anwendungen Dateien auf dem PC auslesen und an einen Server ins Internet senden. Das sollte eigentlich die Sandbox-Funktion des Flash-Player verhindern.

Flash bringt verschiedene Sandboxen mit, die je nach Herkunft der SWF-Datei und gewährten Zugriffsrechten der Datei einige Restriktionen auferlegen. Lokale SWF-Dateien laufen etwa im Rahmen der Local-with-filesystem-Sandbox und haben Zugriff auf lokale Dateien. Allerdings haben sie keinen Zugriff auf das Netzwerk, mit denen eine bösartige SWF-Applet beispielsweise ausgelesene Daten an einen Server schicken könnte.

Der Sicherheitsspezialist Billy Rios hat nun aber herausgefunden, dass Adobe den Zugriff auf das Netzwerk nur durch eine Blacklist von Protokoll-Handlern reguliert, in der unter anderem HTTP und HTTPS eingetragen sind. Offenbar lassen sich prinzipiell auch über den Protokoll-Handler file: Daten an einen Server senden – jedoch nur im lokalen LAN, wie Rios in seinem Blog schreibt. Er hat aber einen weiteren Handler gefunden, mit dem sich Daten auch an Server im Internet senden lassen: mhtml.

Unter Windows wird der Protokoll-Handler standardmäßig unterstützt, sodass sich laut Rios ausgespähte Daten etwa über folgenden ActionScript-Befehl (http://www.adobe.com/support/flash/action_scripts/actionscript_dictionary/actionscript_dictionary377.html) senden lassen. Eine konkreten SWF-Datei zur Demonstration des Problems stellt Rios nicht zu Verfügung.

Dass sich eine der Flash-Sandboxen so einfach aushebeln lässt, überrascht. Derzeit stellt das Problem jedoch kein besonders großes Risiko dar, da die wenigsten Anwender SWF-Datei manuell herunterladen und lokal starten. In der Regel laden Anwender SWF-Dateien direkt in das Flash-Plug-in für den Browser, für das andere Regeln gelten.

Quelle : www.heise.de
Titel: Erstes Sicherheitsupdate für den Adobe Reader X kommt
Beitrag von: SiLæncer am 04 Februar, 2011, 15:33
In einigen Tagen soll es das erste Sicherheitsupdate für den neuen Adobe Reader X und Acrobat X geben. Es soll als kritisch eingestufte Sicherheitslücken schließen.

Adobe will am 8. Februar 2011 mehrere Sicherheitsupdates für die PDF-Produkte der Firma veröffentlichen. In seiner Ankündigung nennt Adobe allerdings nur wenige Details.Kritische Sicherheitslücken soll es im Adobe Reader X und Acrobat X geben. Das gilt sowohl für die Windows-Version als auch die Mac-Version. Auch die 9er Versionen haben kritische Lücken. Betroffen sind hier Windows, Mac OS X und die Unix-Version.Für die Unix-Version macht Adobe allerdings eine Ausnahme. Wer diese Version benutzt, muss fast drei Wochen länger warten, bis die kritische Lücke geschlossen wird. Erst für den 28. Februar plant Adobe den Patch.

Quelle : www.golem.de
Titel: Re: Adobe warnt vor gefährlichem Sicherheitsleck im Flash Player
Beitrag von: spoke1 am 15 März, 2011, 12:41
Flash Player

Im Flash Player befindet sich ein gefährliches Sicherheitsleck, das bereits aktiv für Angriffe ausgenutzt wird. Adobe will in der kommenden Woche einen Patch fertig haben. Der Fehler betrifft auch den Adobe Reader und Acrobat.

Im Flash Player in den Versionen 10.1 sowie 10.2 gibt es ein Sicherheitsloch, das laut Adobe bereits aktiv ausgenutzt wird. Aus diesem Grund hat sich Adobe wohl entschieden, einen entsprechenden Sicherheitshinweis zu veröffentlichen. Der betreffende Fehler betrifft auch den Adobe Reader und Acrobat, aber bislang sind Adobe keine Angriffe bekannt.
Das Sicherheitsleck verschafft einem Angreifer eine umfassende Kontrolle über ein fremdes System. Die Angriffe erfolgen über eine als E-Mail versendete Excel-Datei, in die eine Flash-Datei eingebettet ist. Wird die Excel-Datei geöffnet, wird der Schadcode ausgeführt. Einen Workaround nennt Adobe nicht, um sich bis zum Erscheinen eines Patches vor Angriffen schützen zu können.
Adobe will ein Flash-Player-Upate für Windows, Linux, Solaris, Mac OS und Android zwischen dem 21. und 25. März 2011 veröffentlichen. Auf einen genauen Tag will sich der Hersteller nicht festlegen. Ebenfalls in der kommenden Woche ist ein Update für den Adobe Reader und für Acrobat für Windows- und Mac-Systeme geplant.
Lediglich für den Adobe Reader X ist ein Patch erst am regulären nächsten Patchday am 14. Juni 2011 geplant. Adobe begründet die lange Wartezeit damit, dass der Adobe Reader X einen Sandbox-Modus besitzt, der eine Ausnutzung dieser Sicherheitslücke verhindert.


Quelle: http://www.golem.de/1103/82097.html
Titel: Re: Adobe warnt vor gefährlichem Sicherheitsleck im Flash Player
Beitrag von: ritschibie am 15 März, 2011, 16:39
Heute hatte ich ein Flashplayer update, weiss aber nicht von welchem Datum (war ja 3 Wochen weg)...
Titel: Re: Adobe warnt vor gefährlichem Sicherheitsleck im Flash Player
Beitrag von: stuart am 15 März, 2011, 19:13
Hallo ritschibie,

mein Flash Player hat die Versionsnummer 10.2.152.32 und wurde am 08.03. installiert. Als Download gibs es die Version (http://www.pcwelt.de/downloads/Adobe-Flash-Player-560583.html) anscheinend seit dem 02.03.
Titel: Updates für Flash Player und Adobe Reader
Beitrag von: SiLæncer am 22 März, 2011, 13:54
Adobe hat Updates für den Flash Player, AIR, Reader und Acrobat veröffentlicht, um die vergangene Woche gemeldete Sicherheitslücke zu schließen. Der Player steht ab sofort in Version 10.2.153.1 für Windows, Mac, Linux und Solaris zum Download (http://get.adobe.com/de/flashplayer/otherversions/) bereit. Die aktualisierte Fassung 10.2.156.12 für Android steht im Android Market zur Verfügung. Anwender von AIR sollten auf Version 2.6 updaten.

Google hatte ein überarbeitetes Flash-Plug-in für seinen Browser Chrome bereits vergangene Woche verteilt. Adobe erklärte den Vorsprung von Google gegenüber den offiziellen Releases in einer Mail an heise Security mit dem geringeren Testaufwand. Anders als Google müsse Adobe aufgrund der verschiedenen Betriebssysteme und Konfigurationen mit mehr als 60 Szenarien testen.

Parallel zum Flash-Update hat Adobe auch den Reader und Acrobat für Windows und Mac aktualisiert. Beide Programme sind aufgrund der integrierten Flash-Engine ebenfalls von dem Problem betroffen. Zum Download stehen der Adobe Reader 9.4.3 sowie Acrobat 9.4.3 und 10.0.2 (Acrobat X) für jeweils Windows und Mac bereit.

Version 10.0.2 des Readers für Windows soll erst mit dem nächsten regulären Adobe-Patchday am 14. Juni erscheinen. Adobe ist der Meinung, dass in den verwundbaren Versionen 10.x die Sandbox ein Ausnutzen der Lücke verhindert. Adobe Reader 9.x für Linux und Solaris, für Android sowie Adobe Reader 8.x und Acrobat 8.x sind nicht verwundbar.

Quelle : www.heise.de
Titel: Sicherheitsleck in RealPlayer
Beitrag von: SiLæncer am 23 März, 2011, 12:47
Anwender des RealPlayer sollten beim Abspielen von Dateien im "Internet Video Recording"-Format bis auf Weiteres deren Herkunft genauer prüfen. Ein Heap Overflow beim Parsen der Datei lässt sich von Angreifern nämlich ausnutzen, um Code in einen Rechner zu schleusen und zu starten. Da sich der RealPlayer auch als Plug-in im Browser installiert, genügt auch der Besuch einer präparierten Seite, um den PC zu infizieren.

Nach Angaben des Entdeckers der Schwachstelle Luigi Auriemma steckt die Lücke in der Windows-Version des RealPlayer 14.0.2.633, vorherige Versionen und weitere Plattformen wie Linux und Mac sind vermutlich ebenfalls betroffen. Ein Update oder einen Patch gibt es nicht, da Auriemma die Hersteller in der Regel nicht informiert und seine Berichte ohne weitere Absprachen veröffentlicht, dürfte der Hersteller auch erst kürzlich über das Problem erfahren haben.

Als Workaround hilft es, das Plug-in respektive ActiveX-Control im Browser zu deaktivieren oder zu entfernen. Zwar spielt der RealPlayer nicht nur RealMedia, sondern auch viele weitere Formate ab, alternativ gibt es aber eine Vielzahl anderer Mediaplayer.

Quelle : www.heise.de
Titel: Sicherheitslücke im Flash Player wird aktiv ausgenutzt
Beitrag von: spoke1 am 12 April, 2011, 10:53
Adobe

Wieder einmal warnt Adobe vor einer kritischen Sicherheitslücke im Flash Player, mit der Angreifer Systeme unter ihre Kontrolle bringen können. Ein Sicherheitsupdate soll in dieser Woche erscheinen, wurde aber noch nicht veröffentlicht und die Lücke wird bereits aktiv ausgenutzt. Eine bislang ungepatchte Sicherheitslücke (CVE-2011-0611) betrifft den aktuellen Flash Player 10.2.153.1 und ältere Versionen sowie den mit Google Chrome ausgelieferten Flash Player 10.2.154.25 und ältere Versionen, jeweils unter den Betriebssystemen Windows, Mac OS X, Linux und Solaris. Zudem ist der Flash Player bis einschließlich Version 10.2.156.12 für Android und die Komponenten Authplay.dll, die mit dem Adobe Reader und Acrobat X ausgeliefert wird, unter Windows und Mac OS X betroffen.

Adobe warnt, Angreifer können die Sicherheitslücke ausnutzen, um Systeme unter ihre Kontrolle oder zumindest zum Absturz zu bringen. Die Gefahr ist dabei nicht rein theoretischer Natur, denn die Sicherheitslücke wird bereits aktiv ausgenutzt. Laut Adobe wurden bereits präparierte .swf-Dateien, eingebettet in Word-Dokumente (.doc), gefunden, die als E-Mail-Anhang verbreitet werden und auf Windows-Systeme abzielen. Angriffe über PDF-Dateien sind demnach bislang nicht bekannt.

Derzeit arbeitet Adobe daran, ein entsprechendes Update freizugeben. (ji)


Quelle: http://www.golem.de/1104/82722.html
Titel: Flash Player Notfallpatch
Beitrag von: spoke1 am 14 April, 2011, 10:26
Notfallpatch kommt zum Wochenende

Systemadministratoren müssen sich wohl auf eine späte Veröffentlichung eines wichtigen Sicherheitsupdates am Freitagabend einrichten. Dann will Adobe eine gefährliche Sicherheitslücke in der Flash-Komponente schließen, die bereits ausgenutzt wird.
Adobe will in Kürze eine Sicherheitslücke im Flash Player beseitigen, die Rechner in Gefahr bringen kann. Angreifer können mit entsprechend manipulierten Flash-Dateien ein System unter ihre Kontrolle bringen. Betroffen sind auch Adobes aktuelle PDF-Programme, da sie mit dem Flash Player ausgestattet sind.

Da die Sicherheitslücke schon aktiv ausgenutzt wird, sah sich Adobe gezwungen, schnell zu reagieren und außerhalb der Quartalsupdates einen Patch zu produzieren. Gezielte Angriffe gibt es bereits mit manipulierten Office-Dokumenten, die eine .swf-Datei beinhalten. Größer angelegte Angriffe sind aufgrund der Bekanntheit des Problems zu erwarten.
Am Freitag, dem 15. April 2011 soll das Update veröffentlicht werden. Eine Uhrzeit gibt Adobe nicht an, aber wegen der Zeitzonenunterschiede zum US-Unternehmen muss in Europa mit Freitagabend gerechnet werden.
Notfallpatches soll es auch für diverse Versionen des Adobe Reader und Adobe Acrobat geben. Sie sollen spätestens in der letzten Aprilwoche erscheinen. Eine Ausnahme bildet die Windows-Version des Adobe Reader X. Da die Sandbox einen Angriff verhindern soll, plant Adobe erst Mitte Juni 2011 einen Patch im Rahmen der Quartalupdates. (as)


Quelle: http://www.golem.de/1104/82798.html
Titel: Wichtiges Sicherheitsupdate für Adobe Flash
Beitrag von: SiLæncer am 16 April, 2011, 11:27
Adobe hat ein Update für seinen Flash-Player veröffentlicht, dass eine kritische Sicherheitslücke schließt. Das Unternehmen hatte am vergangenen Montag vor der Lücke gewarnt und berichtet, dass Angreifer sie bereits mit Hilfe von Webseiten sowie Word- und Excel-Dokumenten ausnutzen. Da die Angreifer Schadcode ins System des Nutzers schleusen können, stuft Adobe die Lücke als "kritisch" ein. Das ist die höchste Stufe auf Adobes Dringlichkeitsskala.

Wer den Flash-Player unter Windows, Mac OS X, Linux oder Solaris nutzt, sollte die neue Version 10.2.159.1 installieren, die in Adobes Download-Center bereitsteht (http://get.adobe.com/de/flashplayer/). Nutzer von Android-Smartphones müssen sich noch gedulden: Adobe arbeitet noch am Sicherheitsupdate, will es aber immerhin spätestens Ende April bereitstellen. Air-Nutzer sollten das Update auf Version 2.6.19140 (http://get.adobe.com/de/air/) installieren. Für den Browser Chrome hat Google bereits am Donnerstag ein Update veröffentlicht, das die Flash-Lücke schließt.

Quelle : www.heise.de
Titel: Vorgezogene Updates für Adobe Reader und Acrobat X
Beitrag von: SiLæncer am 22 April, 2011, 11:18
Nach dem Sicherheits-Patch für den Flash-Player hat Adobe nun früher als erwartet neue Versionen für Adobe Reader 9.x und 10.x sowie Acrobat X für Linux und Windows heraus gebracht. Ursprünglich sollten diese erst am 25. April veröffentlich werden, doch da schon zahlreiche Exploits die Schwachstelle (CVE-2011-0611) "in freier Wildbahn" ausgenutzt hatten, hat man sich bei Adobe etwas mehr beeilt. Bekannt ist die Schwachstelle schon seit dem 14. März und wurde durch Patches kurze Zeit später notdürftig abgedichtet.

Da die Schwachstelle Adobes höchste Alarmstufe "kritisch" trägt, sollten User umgehend von Adobe Reader 9 auf Version 9.4.4 und von Adobe Reader und Acrobat X 10 auf 10.0.3 updaten (Update-Funktion nutzen oder von Hand herunterladen: Adobe Reader (Windows, Mac ), Acrobat Standard/Pro (Windows, Mac), Acrobat Pro Extended (Windows).

Adobe Reader X Protected Mode fängt den Fehler bereits ab und kann so bis zum nächsten regulären Update im Juni warten. Adobe Reader für Android soll laut Sicherheitsbulletin APSB11-08 nicht betroffen sein.

Quelle : www.heise.de
Titel: Adobe Flash Player: Notfallpatch gegen Zero-Day-Exploit
Beitrag von: SiLæncer am 06 Juni, 2011, 12:47
Am Sonntagabend (Pacific Daylight Time) hat Adobe ohne Ankündigung einen Patch gegen eine schwere Sicherheitslücke veröffentlicht. Das als wichtig eingestufte Sicherheitsupdate sollte möglichst schnell eingespielt werden und betrifft fast alle Rechner-Betriebssysteme sowie die Android-Plattform.

Eine neu entdeckte Sicherheitslücke hat Adobe gezwungen, noch am Sonntagabend (Pacific Daylight Time) in den USA ein Sicherheitsupdate zu veröffentlichen. Es handelt sich laut Adobe um eine universell einsetzbare Cross-Site-Scripting-Schwachstelle (CVE-2011-2107). Das Sicherheitsproblem ist offenbar so neu, dass selbst einige Sicherheitswebseiten es noch nicht in ihre Datenbanken gepflegt haben.

Adobe warnt allgemein vor gezielten Angriffen, die bereits im Umlauf sind. Offenbar werden E-Mails versandt, die Anwender dazu bringen sollen, eine Webseite mit dem Schadcode aufzusuchen. Auch Nutzer von Webmail-Anbietern sind anscheinend gefährdet.

Der letzte Patch für den Flash Player wurde ebenfalls wegen eines Zero-Day-Exploits veröffentlicht. Im April 2011 wurde der Webseite von Amnesty International Flash-Schadcode untergeschoben, der für Besucher verteilt wurde.

Weitere Informationen gibt es im Security Bulletin von Adobe. Die aktuelle Version des Flash Players gibt es auf adobe.com für Windows-, Linux-, Mac-OS- und Solaris-Nutzer. Nutzer von Google Chrome sollten bereits automatisch einen Patch bekommen haben.

Ein Update für Android-Nutzer soll noch in dieser Woche erscheinen. Ob der Angriff auch gegen Adobes PDF-Software mit Flash-Player-Integration funktioniert, untersucht der Softwarehersteller noch. Kenntnis über Angriffe auf die PDF-Software der Versionen 9 und 10 hat Adobe noch nicht erlangt.

Am 14. Juni 2011 steht bei Adobe ohnehin das Quartalssicherheitsupdate an. Möglicherweise wartet die Firma bis zu diesem Datum, um das Problem auch in den PDF-Produkten zu lösen.

Quelle : www.golem.de
Titel: Re: Patchday bei Adobe
Beitrag von: ritschibie am 06 Juni, 2011, 16:46
Ich weiss ja nicht, ob es das war, aber vor ein paar Tagen erhielt ich eine mail von einem Freund (ohne Text) mit dem Verweis auf eine HTML-Seite. Da mir dieser Bekannte schon öfters Hinweise auf lustige Webseiten geschickt hatte, rief ich die Seite auf und wurde geschockt durch G-Data, das eine Malwareschleuder erkannt hatte und die Seite blockte. Mein Anruf bei diesem Freund ergab, dass er gar keine mail geschickt hatte. Heute bekam ich wieder eine mail von ihm, ohne Text mit purem Link, das wanderte in die Papiertonne..
Titel: Adobe schließt Lücken in Flash, Reader und Shockwave
Beitrag von: SiLæncer am 15 Juni, 2011, 13:12
Zahlreiche Adobe-Programme auf verschiedenen Plattformen sind jetzt durch ein Sicherheitsupdate gegen mögliche Angriffe gewappnet. Flash-Nutzer sollten eiligst ihren Flash Player aktualisieren. Es gibt bereits Angriffe, die eine Sicherheitslücke ausnutzen.

Aufgrund von Sicherheitslücken wurden neue Versionen der PDF-Softwarepakete Adobe Reader und Adobe Acrobat veröffentlicht. Ein Update der Software wird empfohlen. Ein Angreifer kann mit entsprechend präparierten PDF-Dateien die PDF-Software zum Absturz bringen und potenziell Schadcode ausführen, um den Rechner unter seine Kontrolle zu bringen. Die Versionen 10.1 und 9.4.5 schließen alle Sicherheitslücken, darunter auch Sicherheitslücken, die ältere Flash Player betreffen.

Adobe aktualisiert auch die Version 8 seiner PDF-Software, obwohl der Support eigentlich 2010 eingestellt werden sollte. Adobe hat den Support bis November 2011 verlängert. Aktuell ist jetzt die Version 8.3, die ebenfalls Sicherheitsprobleme beseitigt. Die Version 8 hat den Vorteil, dass sie für Flash-Sicherheitslücken nicht anfällig ist, da ihr die Authplay-Komponente fehlt.

Weit mehr als ein Dutzend Sicherheitsprobleme, die das Ausführen von Schadcode ermöglichen, wurden im Shockwave Player für Windows und Mac OS X entdeckt.
Wieder wird eine Sicherheitslücke im Flash Player ausgenutzt

Auch im Adobe Flash Player wurde wieder eine Sicherheitslücke ausgemacht. Wer dachte, dass er nach dem Notfallpatch der vergangenen Woche erst einmal seine Ruhe haben würde, der wird eines Besseren belehrt. Auch in dieser Variante wurde eine Sicherheitslücke entdeckt, die unter Windows, Mac OS X, Solaris, Linux und Android ausgenutzt werden kann, um die Kontrolle über ein System zu erlangen. Laut Adobe gibt es sogar schon Berichte über Angriffe. Diese sollen gezielt über manipulierte Webseiten stattfinden.

Anfällig sind alle Flash Player (Windows, Linux, Mac OS X, Solaris) mit der Version 10.3.181.23 und älteren Versionen. Es gibt im Downloadcenter die neue Version 10.3.181.26. Für Android-Nutzer sind die Version 10.3.185.23 und ältere Versionen anfällig. Im Laufe der Woche soll eine neue Version erscheinen.

Interessanterweise betrifft diese Sicherheitslücke nicht die Authplay-Komponente des Adobe Readers und Acrobat. Häufig sind Flash-Sicherheitslücken auch in den PDF-Programmen zu finden, da Authplay das Abspielen von Flashinhalten in PDF-Dokumenten regelt.

Livecycle-Produkte, BlazeDS und Coldfusion wurden ebenfalls mit einem Sicherheitsupdate bedacht. Dieses wurde im Unterschied zu den anderen Problemen nur als wichtig eingestuft. Die Aktualisierungen für die PDF-Software, den Flash Player und den Shockwave Player sind als kritisch eingestuft.

Alle Sicherheitsupdates und weitere Details dazu hat Adobe in einem Blogeintrag (http://blogs.adobe.com/psirt/) des Sicherheitsteams aufgelistet.

Quelle : www.golem.de
Titel: Kriminelle nutzen kritische Sicherheitslücke in Flash aus
Beitrag von: SiLæncer am 21 Juni, 2011, 14:00
Kriminelle nutzen im großen Stil eine kritische Lücke in Flash, die Adobe vergangene Woche an seinem Patchday behoben hat, zum Verteilen von Schadcode aus, Wie die Sicherheitsexperten von Websense berichten, haben die Kriminellen zahlreiche Webseiten mit verseuchten Flash-Dateien infiziert, welche die Lücke zum Einschleusen von Malware benutzen.

Der Flash-Exploit nutzt Tricks um an Informationen über die Speicherstruktur des Flash-Players zu gelangen und den Stack-Pointer zu überschreiben. Hinter der neuen Adresse verbirgt sich der Shellcode, der eine verschlüsselte Datei auf den Rechner des Opfers lädt und ausführt.

Wer noch nicht die aktuelle Flash-Version 10.3.181.26 installiert hat, sollte es umgehend nachholen. Auch Flash für Android ist verwundbar, wenn die installierte Version älter als 10.3.185.24 ist. Welche Version derzeit auf dem System installiert ist, erfährt man bei Adobe.

Quelle : www.heise.de
Titel: Sicherheits-Update für Flash Player
Beitrag von: SiLæncer am 10 August, 2011, 16:45
Adobe hat das Update 10.3.183.5 für seinen Flash Player veröffentlicht, das 13 Sicherheitslücken schließt. Das Update steht für Windows, Mac OS X, Linux und Solaris bereit. Für Android steht 10.3.186.3 im Android Market bereit, um das Problem zu beheben. Um die Fehler in AIR zu beseitigen müssen PC-Anwender auf Version 2.7.1 updaten.

Daneben ist ein Update für den Shockwave Player erschienen, das sieben kritische Lücken schließt. In Photoshop CS5 und 5.1 löst Adobe mit einem Update ein Problem im Umgang mit GIFs, das sich zum Einschleusen und Ausführen von Code missbrauchen lässt.

Quelle : www.heise.de
Titel: September-Patchday bei Adobe
Beitrag von: SiLæncer am 09 September, 2011, 11:42
Auch Adobe wird am Dienstag seinen Pachtday abhalten. Der Hersteller kündigte an (http://www.adobe.com/support/security/bulletins/apsb11-24.html), kritische Lücken in allen noch gepflegten Versionszweigen von Adobe Reader und Acrobat schließen zu wollen; sowohl in den Windows- als auch in den Mac-Versionen der Programme. Außerdem gab Adobe bekannt, derzeit daran zu arbeiten, die Stammzertifikate der kompromittierten DigiNotar-CAs aus seinen Produkten zu entfernen. Bis es soweit ist, kann man das mit Hilfe einer von Adobe veröffentlichten Anleitung (http://blogs.adobe.com/psirt/2011/09/update-on-diginotar-and-the-adobe-approved-trust-list-aatl.html) auch selbst erledigen.

Quelle : www.heise.de
Titel: Adobe schließt 14 Lücken in Reader und Acrobat
Beitrag von: SiLæncer am 14 September, 2011, 11:26
Der Hersteller Adobe hat neue Versionen von Reader und Acrobat veröffentlicht (https://www.adobe.com/support/security/bulletins/apsb11-24.html), um mehrere kritische Sicherheitslücken zu schließen. Betroffen sind jeweils die Versionen 10.x, 9.x und 8.x für Windows, Linux und Mac. Adobe empfiehlt die Updates 10.1.1 für Reader X und Acrobat X zu installieren; diese Version bietet durch ihre Sandbox unter Windows zusätzlichen Schutz. Daneben stehen aber auch Adobe Reader 9.4.6 und 8.3.1 sowie Adobe Acrobat 9.4.6 und 8.3.1 zum Download bereit. Adobe Reader 9.4.6 for UNIX soll allerdings erst am 7. November erscheinen.

In der Version 10.x hat Adobe wie angekündigt die Adobe Approved Trust List (AATL) aktualisiert, um sämtliche DigiNotar-Zertifikate zu entfernen. Die Versionen 9.x unterstützen bislang noch keine dynamischen Updates für die AATL, dies soll erst in späteren Versionen folgen. Bis dahin sollen Anwender die Zertifikate manuell löschen. Eine Anleitung dazu hat der Hersteller auf seinen Seiten veröffentlicht (http://blogs.adobe.com/security/2011/09/diginotarremovalaatl.html).

Beim letzten Update für ein Adobe-Produkt gab es Kritik von Sicherheitsspezialisten, der Hersteller wolle über die wahre Zahl der geschlossenen Lücken hinwegtäuschen. So hatte Adobe für ein Update des Flash Player nur 13 Lücken angegeben. Der für Google tätige Sicherheitsspezialist Tavis Ormandy wies jedoch darauf hin, dass es mehr als 400 waren.

Quelle : www.heise.de
Titel: Adobe kündigt Notfall-Patch für Flash-Player an
Beitrag von: SiLæncer am 21 September, 2011, 13:06
Adobe hat einen Notfall-Patch angekündigt (http://blogs.adobe.com/psirt/2011/09/prenotification-security-update-for-flash-player.html), der vermutlich im Laufe des heutigen Abends erscheinen wird. Er soll mehrere kritische, bislang unbekannte Lücken im Flash-Player schließen. Daneben soll das Update eine universelle Cross-Site-Scripting-Lücke beseitigen, die laut Hersteller bereits aktiv ausgenutzt wird. Nähere Angaben macht Adobe in seinem Sicherheits-Blog nicht.

Google hat bereits die aktualisierten Fassungen seines Browser Chrome 14.0.835.186 für Windows, Mac, Linux und Chrome Frame veröffentlicht (http://www.dvbcube.org/index.php?topic=24708.msg161605#msg161605). Sie enthalten eine korrigierte Version des Flash -Player.

Quelle : www.heise.de
Titel: Notfall-Patch schließt kritische Flash-Lücken außer der Reihe
Beitrag von: SiLæncer am 22 September, 2011, 11:46
Adobe hat wie angekündigt einen Notfall-Patch (Version 10.3.183.10) für den Flash-Player veröffentlicht, der einige kritische Lücken schließt. Der Hersteller muss außerplanmäßig reagieren, da eine der Schwachstellen bereits aktiv für Angriffe ausgenutzt wird: Durch die Cross-Site-Scripting-Lücke können Angreifer die Same-Origin-Policy umgehen und so etwa auf das Webmailkonto des Opfers zugreifen oder seine Cookies stehlen. Hierzu muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.

Zu den übrigen fünf Lücken macht Adobe lediglich spärliche Angaben. Durch vier der Lücken kann ein Angreifer aus der Ferne Schadcode ins System schleusen, unter anderem durch zwei Stack-Overflow-Fehler. Durch die sechste Lücke gelangt der Angreifer an Informationen, auf die er keinen Zugriff haben dürfte (Information Disclosure).

Flash ist bis Version 10.3.183.7 unter allen Desktop-Betriebssystemen verwundbar. Unter Android sind alle Versionen einschließlich 10.3.186.6 angreifbar, die fehlerbereinigte Version trägt die Versionsnummer 10.3.186.7. Den in Chrome integrierten Flash-Player hat Google bereits vor zwei Tagen mit dem Update auf Chrome 14.0.835.186 auf den aktuellen Stand gebracht. Die derzeit installierte Version des Flash-Player kann man bei Adobe in Erfahrung bringen.

Die Flash-Bibliothek authplay.dll von Adobe Reader und Acrobat ist zumindest von der Cross-Site-Scripting-Lücke nicht betroffen. Ob sie für die anderen Schwachstellen anfällig ist, gab Adobe nicht bekannt.

Quelle : www.heise.de
Titel: Clickjacking: Neue Methode zur Webcam-Spionage mit Adobes Flash Player
Beitrag von: SiLæncer am 20 Oktober, 2011, 13:20
Ein Informatikstudent hat eine neue Methode zur Webcam-Spionage über den Flash Player gefunden. Adobe will die von Feross Aboukhadijeh entdeckte Sicherheitslücke noch in dieser Woche schließen.

Feross Aboukhadijeh hat herausgefunden, dass der Adobe Flash Player weiterhin mittels Clickjacking dazu gebracht werden kann, die Webcam eines angegriffenen Computers einzuschalten. In seinem Blog (http://www.feross.org/webcam-spy/) verlinkt er eine selbst entwickelte Demonstrationswebsite, die in einem iFrame die Settings-SWF-Datei unsichtbar einblendet und den Besucher durch Clickjacking dazu bringt, die Kamera und das Mikrofon in den Flash-Einstellungen einzuschalten.

Video: Webseitenbesucher mit Webcam ausspionieren (5:03)

Allerdings verspricht der Student, den an der Sicherheitslücke interessierten Besuchern nur ihr eigenes Kamerabild zu zeigen und nichts aufzuzeichnen. Die Demo funktioniert bisher nur in Firefox und Safari auf dem Mac korrekt. Die meisten anderen Browser, darunter solche, die unter Windows und Linux laufen, sollen die Transparenz oder den Z-Index einer SWF-Datei in einem iFrame nicht verändern können. Das könnte an einem CSS-Fehler in Verbindung mit Transparenz liegen.

Die Methode ist laut Aboukhadijeh nicht neu. Adobe hatte bereits zuvor mit Framebusting-Code verhindert, dass die ganze Einstellungsseite unsichtbar in einem iFrame eingeblendet wird. Beispielsweise durch ein eigens erstelltes Flash-Spiel konnte der Nutzer vorher dazu gebracht werden, genau an die zum Einschalten der Webcam und des Mikrofons richtigen Stellen zu klicken.

(http://scr3.golem.de/screenshots/1110/webcam-clickjacking/thumb620/Webcamspionage.jpg)

Dass es aber noch möglich war, die SWF-Datei für die Einstellungen in einen iFrame zu laden und diese damit zu modifizieren, hat den Studenten laut eigenen Angaben überrascht. Aboukhadijeh informierte Adobe bereits, da das Unternehmen aber nicht reagierte, stellte er gestern seinen Blogeintrag zu der Sicherheitslücke online.

Adobe erklärte daraufhin CNet.com, dass das Problem bis Ende dieser Woche behoben sei und konkretisiert dann gegenüber Aboukhadijeh, dass das Flash-Team dazu an einer Lösung arbeite, die kein Flash-Player-Update erfordere.

Quelle : www.golem.de
Titel: Adobe beseitigt Webcam-Spionage-Lücke in Flash
Beitrag von: SiLæncer am 21 Oktober, 2011, 11:30
Adobe hat eine Clickjacking-Lücke in Adobe Flash geschlossen, durch die Angreifer ihre Opfer unbemerkt mittels Kamera und Mikrofon ausspionieren konnten. Entdeckt hat die Lücke der Stanford-Student Feross Aboukhadijeh, der die Details zu seinem Fund am vergangenen Dienstag in seinem Blog veröffentlicht hat.

Standardmäßig sind Kamera und Mikrofon deaktiviert und lassen sich normalerweise nur vom Anwender aktivieren. Damit der Anwender Webcam und Mikro aktiviert, präsentiert der Angreifer auf einer präparierten Webseite ein einfaches Klick-Spiel, das den Besucher dazu auffordert, mit der Maus auf eine Reihe von Buttons zu klicken. Im Hintergrund leitet die Webseite auf das Einstellungsmenü von Adobe Flash um, das in ein unsichtbares iFrame geladen wurde. Dadurch räumt der Besucher der Webseite nach und nach das Recht ein, die Video- und Audioeingabegeräte anzuzapfen.

Dieses Angriffsszenario wurde bereits im Jahr 2008 erstmals präsentiert. Adobe hat das Problem damals durch die Anpassung der Einstellungsseite behoben; ein paar Zeilen JavaScript verhindern seitdem, dass die Seite in ein iFrame geladen wird (Framebusting). Ein Detail hat der Hersteller dabei aber übersehen: Flash-Dateien (.swf) kann man auch direkt als iFrame einbetten – die ursprüngliche Webseite wird dabei nicht geladen, der Framebusting-Code kommt nicht zum Tragen.

Adobe hat das Problem nun durch ein Update der beim Hersteller gehosteten Flash-Datei behoben. Eine Aktualisierung des Flash-Players ist nicht nötig.

Quelle : www.heise.de
Titel: Adobe schließt kritische Lücken in Shockwave
Beitrag von: SiLæncer am 09 November, 2011, 17:05
Adobe hat seinen Shockwave-Player auf Version 11.6.3.633 aktualisiert (http://get.adobe.com/shockwave/) und schließt damit zahlreiche kritische Sicherheitslücken (http://www.adobe.com/support/security/bulletins/apsb11-27.html), durch die Angreifer Schadcode ins System einschleusen können. Zwei der Lücken befinden sich in der Director-Bibliothek DIRapi, weitere im TextXtra-Modul. Bei allen Lücken handelt es sich um Speicherfehler. Die Lücken wurden Adobe vertraulich von Sicherheitsforschern gemeldet. Die Details hält der Hersteller derzeit unter Verschluss.

Da der sich der Shockwave-Player als Addon in viele Browser einbindet, genügt bereits der Besuch einer speziell präparierten Webseite, um den Rechner zu infizieren. Verwundbar sind Version 11.6.1.629 und älter für Windows und Mac OS X. Welche Version des Shockwave-Plugins der Browser aktuell nutzt, erfährt man auf einer Testseite (http://www.adobe.com/shockwave/welcome/) von Adobe.

Quelle : www.heise.de
Titel: Adobe schließt 12 kritische Flash-Lücken, Google bessert Chrome nach
Beitrag von: SiLæncer am 11 November, 2011, 13:00
Adobe hat nicht weniger als zwölf kritische Lücken (http://www.adobe.com/support/security/bulletins/apsb11-28.html) in allen Versionen des Flash-Players bis einschließlich 11.0.1.152 geschlossen. Durch die Speicherfehler können Angreifer Schadcode auf den Rechner einschleusen. Der Besuch einer speziell präparierten Seite genügt. Surft man mit dem Internet Explorer, kann ein Angreifer durch eine weitere Lücke zudem die Cross-Domain-Policy umgehen.

Wer sein System absichern will, sollte umgehend auf die aktuelle Flash-Version 11.1.102.55 umsteigen (http://www.adobe.com/go/getflash). Welche Flash-Version der Browser derzeit nutzt, erfährt man auf einer Testseite (http://www.adobe.com/software/flash/about/). Auch der Flash-Player für Android ist wieder betroffen, hier ist die letzte anfällige Versionsnummer 11.0.1.153. Das Update auf Version 11.1.102.59 kann man über den Android Market (https://market.android.com/details?id=com.adobe.flashplayer&hl=en) installieren.

Ebenfalls verwundbar ist AIR die Anwendungsplattform AIR in Version 3.0 (einschließlich Android). Eine fehlerbereinigte Version Version 3.1.0.4880 steht zum Download (http://get.adobe.com/air/) bereit.

Chrome-Nutzer erhalten die neue Flash-Version seit Donnerstag über das automatisch verteilte Update auf Version 15.0.874.120. Google hat in seinem Browser mit diesem Update weitere Fehler geschlossen, darunter auch Lücken der Gefahrenklasse "hoch".

Quelle : www.heise.de
Titel: Adobe behebt Sicherheitslücken
Beitrag von: SiLæncer am 17 Dezember, 2011, 11:40
Die von Adobe als kritisch eingeschätzten Sicherheitslücken in bestimmten Acrobat- und Acrobat-Reader-Versionen sind laut Hersteller durch ein am 16. Dezember zur Verfügung gestelltes Update behoben. Es ging dabei darum, dass durch einen Absturz bei der Verarbeitung mancher Grafikformate ein Angreifer die Kontrolle über das System erlangen konnte.

Betroffen waren Adobe Reader X 10.1.1 und jünger für Windows und Mac OS X, 9.4.x für Windows, Mac OS X und Unix, Adobe Acrobat X 10.x für Windows und Mac OS X und Adobe Acrobat 9.4.x für Windows und Mac OS X.

Das von Adobe empfohlene Update (http://www.adobe.com/support/security/bulletins/apsb11-30.html) aktualisiert die 9er-Versionen für Windows von Acrobat und Acrobat Reader auf 9.4.7. Fixes für Adobe X gibt es erst im Rahmen des regulären vierteljährlichen Updatezyklus am 10. Januar 2012, da der Hersteller hier wegen des Sandbox-Modus keine Gefahr durch Exploits sieht. Auch für die 9.x-Versionen für Unix- und Mac OS X offeriert Adobe das Update erst dann.

Quelle : www.heise.de
Titel: Sechs Sicherheitslücken im Adobe Reader und in Acrobat
Beitrag von: spoke1 am 11 Januar, 2012, 10:11
Adobe hat einen Patch für die PDF-Anwendungen Adobe Reader und Acrobat veröffentlicht, um insgesamt sechs gefährliche Sicherheitslücken zu beseitigen. Zudem bringt das Update eine Whitelist-Funktion für Javascript.
Sechs Sicherheitslücken im Adobe Reader und in Acrobat können von Angreifern zur Ausführung von Schadcode missbraucht werden. Opfer müssen lediglich dazu verleitet werden, eine entsprechend präparierte PDF-Datei mit den Adobe-Produkten zu öffnen. Vor über einem Monat wurde bekannt, dass eine der sechs Sicherheitslücken aktiv ausgenutzt wird. Entsprechende Attacken hat Adobe nur für die Windows-Versionen von Adobe Reader und Acrobat bemerkt. Zehn Tage später veröffentlichte Adobe dann für die Windows-Versionen des Adobe Reader 9.x und von Acrobat 9.x ein Update, das nun auch Bestandteil des aktuellen Patches ist.

Die sechs Sicherheitslücken betreffen den Adobe Reader 9.x, Acrobat 9.x, den Adobe Reader 10.x sowie Acrobat 10.x für die Windows- und Mac-OS-Plattformen. Der Sandbox-Modus im Adobe Reader 10.x und in Acrobat 10.x soll eine Ausnutzung der Sicherheitslücken verhindern. Nach Angaben des Herstellers sind die Linux-Versionen der PDF-Anwendungen von den Sicherheitslücken nicht betroffen. Das Update für den Adobe Reader und für Acrobat beseitigt außerdem zwölf Sicherheitslücken in den Flash-Player-Komponenten der Anwendungen. Im November 2011 hatte Adobe ein Sicherheitspatch für den Flash Player veröffentlicht.

Whitelist-Funktion für Javascript

Mit dem aktuellen Update haben der Adobe Reader und Acrobat eine Whitelist-Funktion für Javascript erhalten. In den beiden Adobe-Anwendungen ist es möglich, die Ausführung von Javascript generell zu unterbinden. Mit der Whitelist-Funktion kann Javascript in ausgewählten PDF-Dateien aktiviert werden. Wenn die PDF-Datei als vertrauenswürdig eingestuft ist, stehen auch die Javascript-Funktionen in Adobe Reader und Acrobat zur Verfügung.

Die Updates für den Adobe Reader und für Acrobat können über die Updatefunktion der Software oder über das von Adobe veröffentlichte Security Bulletin heruntergeladen werden.

Quelle: http://www.golem.de/1201/88971.html
Titel: Flash-Player-Update stopft bereits ausgenutzte Lücke
Beitrag von: SiLæncer am 16 Februar, 2012, 12:36
Adobe hat Updates für den Flash Player veröffentlicht, die sieben Lücken schließen (http://www.adobe.com/support/security/bulletins/apsb12-03.html). Sechs davon können Angreifer zum Infizieren eines PCs über präparierte Webseiten missbrauchen. Bei der siebten handelt es sich um eine Cross-Site-Scripting-Lücke, die laut Hersteller bereits aktiv ausgenutzt wird.

Betroffen sind die Version 11.1.102.55 und frühere Versionen für Windows, Mac, Linux und Solaris sowie 11.1.112.61 und frühere für Android 4.x. Daneben enthält der Flash Player 11.1.111.5 für Android 3.x und 2.x die Schwachstellen ebenfalls. In Version 11.1.102.62 für die Desktop-Versionen und 11.1.115.6 und 11.1.111.6 für Android sind die Fehler beseitigt. Ob der Adobe Reader durch seine integrierte Flash-Player-Engine ebenfalls verwundbar ist, schreibt Adobe nicht.

Google hat Chrome in Version 17.0.963.56 für Windows, Mac und Linux bereitgestellt (http://googlechromereleases.blogspot.com/2012/02/chrome-stable-update.html), in der ebenfalls ein korrigierter Flash Player enthalten ist. Zusätzlich schließt dieses Update 13 weitere Lücken, von denen der Hersteller im Rahmen des Bug-Bounty-Programms acht mit Prämien honoriert hat.

Quelle : www.heise.de
Titel: Adobe reagiert mit Patch auf zwei Sicherheitslücken
Beitrag von: ritschibie am 06 März, 2012, 12:13
(http://www.golem.de/1108/85619-18560-i.jpg)
Sicherheitsupdate für
Flash Player
(Bild: Adobe)
Adobe hat für den Flash Player ein Update veröffentlicht, mit dem zwei Sicherheitslücken geschlossen werden sollen. Eine kann zur Ausführung von Schadcode verwendet werden und wird als gefährlich eingestuft.

Im Flash Player für alle Plattformen befinden sich zwei Sicherheitslücken. Eine davon kann von Angreifern zur Ausführung von Schadcode missbraucht werden und wird daher von Adobe als gefährlich eingestuft. Ein Unbefugter könne darüber vollen Zugriff auf ein fremdes System erlangen, heißt es von Adobe. Das andere Sicherheitsloch könne zum Ausspähen vertraulicher Daten verwendet werden.

Es liegen derzeit keine Informationen dazu vor, ob die Sicherheitslecks im Flash Player aktiv ausgenutzt werden. Auch machte Adobe keine Angaben dazu, weshalb das Sicherheitsupdate außer der Reihe veröffentlicht wurde. Der nächste reguläre Patchday von Adobe ist am 10. April 2012. Beide Sicherheitslücken wurden von Google-Mitarbeitern bemerkt und an Adobe gemeldet.

Die beiden Sicherheitslücken betreffen alle aktuellen Versionen des Flash Player für Windows, Mac OS, Linux und Android. Eine aktualisierte Version des Flash Player für Android 2.x sowie 3.x und eine neue Version für Android 4.x steht nach Angaben von Adobe in Googles Android Marketplace zum Herunterladen bereit. Für Android 2.x und 3.x lautet die aktuelle Versionsnummer 11.1.111.7 und für für Android 4.x steht die Version 11.1.115.7 zur Verfügung.

Windows-, Mac-OS- und Linux-Nutzer können sich den aktuellen Flash Player mit der Version 11.1.102.63 über Adobes Webseite herunterladen. Alternativ hat Adobe den Flash Player 10.3.183.16 veröffentlicht, falls kein Update auf Flash Player 11 möglich ist. Nutzer von Googles Chrome-Browser sollten die aktuelle Version installieren, um das Sicherheitsloch im Flash-Player-Plugin zu beseitigen.

Quelle: www.golem.de
Titel: Adobe bietet Tool zur Analyse von Flash an
Beitrag von: SiLæncer am 06 März, 2012, 17:17
(http://www.heise.de/imgs/18/7/7/7/4/6/7/3b212ce2da85bfe2.png)
Der Adobe SWF Investigator (http://labs.adobe.com/technologies/swfinvestigator/) ermöglicht einen Blick unter die Haube von Flash-Dateien. Dabei spielt es keine Rolle, ob man etwa als Sicherheitsexperte einen Flash-Exploit untersuchen oder als Entwickler das eigene Projekt debuggen möchte. Mit Hilfe der Tool-Sammlung kann man SWF-Dateien etwa dekompilieren, um anschließend den ActionScript-Quellcode zu durchstöbern.

Zudem ist ein XSS Fuzzer enthalten, mit dem man die Dateien auf Cross-Site-Scripting-Lücken (XSS) hin untersuchen kann. Auch ein HEX-Editor zur Modifizierung der Dateien ist an Bord. Der SWF Investigator wurde von Peleus Uhley aus Adobes Sicherheitsteam entwickelt und läuft unter Windows und Mac OS X. Der Quellcode (http://sourceforge.net/adobe/swfinvestigator/wiki/Home/) des in Adobe Air realisierten Tools steht ebenfalls zum Download bereit.

Quelle : www.heise.de
Titel: Adobe schließt kritische Lücken in Reader und Acrobat
Beitrag von: ritschibie am 11 April, 2012, 12:01
Parallel zu Microsoft hat auch Adobe am gestrigen Dienstag seinen April-Patchday abgehalten. Das Unternehmen schließt vier kritische Lücken in seinem Reader sowie dem PDF-Editor Acrobat, die sich potenziell zum Einschleusen von Schadcode eignen. Bei den Lücken handelt es sich unter anderem um einen Integer Overflow, der bei der Verarbeitung von TrueType-Schriftarten auftritt. Zwei kritische Speicherfehler finden sich in der JavaScript-Engine.

Verwundbar ist der Reader X in Version 10.1.2 (und älter) für Windows und Mac OS X sowie Reader und Acrobat in Version 9.4.6 (und älter) für Linux. Abhilfe schafft ein Update auf die Versionen 10.1.3 respektive 9.5.1. Letztere bietet Adobe auch Windows- und Mac-Anwendern, die nicht auf den Versionszweig 10.x upgraden können oder wollen.

Bei Acrobat sind Versionsnummern identisch – mit der Ausnahme, dass es das Produkt nicht für Linux gibt. Zudem hat Adobe noch den in Reader und Acrobat integrierten Flash-Player auf den neuesten Stand gebracht. Die Links zu den Updates findet man im Advisory.

Quelle: www.heise.de
Titel: Adobe schließt kritische Flash-Lücke nach Angriffen
Beitrag von: SiLæncer am 04 Mai, 2012, 19:00
Mit dem am Freitag veröffentlichten Flash-Update schließt Adobe eine kritische Schwachstelle (http://www.adobe.com/support/security/bulletins/apsb12-09.html), die bereits aktiv für gezielte Angriffe ausgenutzt wird. Durch die Lücke kann ein Angreifer unter Umständen die Kontrolle über einen fremden Rechner übernehmen. Bei den von Adobe beobachteten Angriffen wurden Mails verschickt, welche die Empfänger dazu animiert haben, die angehängte Datei auszuführen. Der eingesetzte Zero-Day-Exploit greift den Internet Explorer unter Windows an.

Die aktualisierten Flash-Ausgaben für Windows, Mac OS X und Linux haben die Versionsnummer 11.2.202.23 (http://get.adobe.com/de/flashplayer/), für Android sind die Versionen 11.1.111.8 (2.x und 3.x) und 11.1.115 (Android 4.x) aktuell. Welche Version aktuell installiert ist, erfährt man auf einer Testseite (http://www.adobe.com/de/software/flash/about/). Wer unter einem Desktop-Betriebssystem noch an Flash 10 hängt, kann die ebenfalls gepatchte Version 10.3.183.19 (http://kb2.adobe.com/cps/142/tn_14266.html) installieren.

Quelle : www.heise.de
Titel: Adobe kassiert für Sicherheits-Updates zu Photoshop & Co
Beitrag von: SiLæncer am 09 Mai, 2012, 13:50
Wer seine Photoshop-, Illustrator- oder Flash-Pro-Installation gegen kritische Sicherheitslücken abdichten will, muss jetzt tief in die Tasche greifen. 273 Euro kostet allein das Update auf Photoshop 6 CS6, dessen Installation Adobe empfiehlt, weil es mehrere kritische Sicherheitslücken schließt. Die anderen Upgrades gibt es ebenfalls nur für zahlende Kunden. Kostenlos verteilt Adobe zum heutigen Patchday lediglich ein Shockwave-Update.

Wer die kostenpflichtigen Upgrades nicht kaufen mag – etwa weil er die neuen Photoshop-Funktionen nicht benötigt – ist auf sich selbst gestellt. Adobe empfiehlt lediglich ganz allgemein, gute Sicherheitsvorkehrungen zu treffen und vorsichtig beim Öffnen von Dateien zu sein – verkneift es sich aber, seinen Kunden dabei "viel Glück" zu wünschen. Denn die Lücken haben es durchaus in sich.

Adobe Photoshop etwa enthält eine Lücke in den TIFF-Funktionen, für die es bereits einen öffentlichen Demo-Exploit gibt und eine nicht weiter spezifizierte Sicherheitslücke, die ebenfalls zur unbemerkten Infektion eines Systems allein durch das Öffnen einer präparierter Datei führen kann. Bei Illustrator listet Adobe gleich 5 Sicherheitslücken auf; bei Flash Professional eine. In allen Fällen sind jeweils die Versionen CS5.5 für Windows und Mac anfällig.

Kostenlos bekommt man das ebenfalls heute veröffentlichte Update auf Shockwave Player 11.6.5.635, das 5 Sicherheitslücken in der Vorgängerversion beseitigt. Für das herkömmliche Flash hat Adobe wegen akuter Angriffe bereits am letzten Freitag eine neue Version ausgerollt.

Quelle : www.heise.de
Titel: Adobe patcht jetzt doch
Beitrag von: SiLæncer am 12 Mai, 2012, 14:15
Kurz und knapp gab Adobe am gestrigen Freitag, dem 11. Mai, in einem Update eines Security Bulletin bekannt, nun doch an einem Patch für Sicherheitslücken in Photoshop und Illustrator der Creative Suite 5.x zu arbeiten. Gleichzeitig korrigierte das Unternehmen die Angaben über die betroffenen Versionen. Hieß es anfangs noch, es seien nur die Programme der CS 5.x betroffen, räumt man nun ein, dass offenbar auch alle älteren Versionen der Software anfällig für Angriffe sind. Das Problem betrifft die Programmfassungen für Mac OS X und Windows gleichermaßen.

Am Dienstag hatte das im kalifornischen San Jose beheimatete Unternehmen noch bekanntgegeben, dass es keine Security-Updates für ältere Installationen von Photoshop, Illustrator oder Flash Pro mehr liefern werde. Wer sich gegen kritische Sicherheitlücken absichern wolle, müsse auf die Creative Suite 6 upgraden – natürlich kostenpflichtig. Auf Nachfrage von heise Security bestätigte Adobe seine Marschrichtung zwei Tage später, was im Internet für Aufregung und Protest sorgte und schlussendlich als Entscheidungshilfe für den Meinungsumschwung gedient haben mag.

Quelle : www.heise.de
Titel: Adobe schließt Lücken nach Nutzerprotesten
Beitrag von: SiLæncer am 05 Juni, 2012, 13:32
Adobe hat zahlreiche kritische Schwachstellen in Photoshop (CS5 und CS5.1) und Illustrator (CS5 und CS5.5) geschlossen. Durch die Lücken kann man sein System mit Schadcode infizieren, etwa indem man ein speziell präpariertes TIFF-Dokument mit Photoshop öffnet. Insgesamt schließen die Updates drei kritische Photoshop-Lücken (http://www.adobe.com/support/security/bulletins/apsb12-11.html) und sechs kritische Illustrator-Lücken (http://www.adobe.com/support/security/bulletins/apsb12-10.html). Betroffen sind sowohl die Windows- als auch die Mac-Ausgaben der Programme.

Ursprünglich wollte das Unternehmen die Lücken nur in den 6er Versionen schließen – ein Update, das allein im Fall von Photoshop mit 273 Euro zu Buche schlägt. Adobe argumentierte, dass "das reale Risiko für Anwender [...] keine speziellen Security-Updates" rechtfertige und löste damit eine Welle von Nutzerprotesten aus. Wenige Tage später gab das Unternehmen den Forderungen seiner zahlenden Kundschaft nach und stellte die sicherheitsrelevanten Patches schließlich auch den Nutzern der Vorversion in Aussicht (http://www.heise.de/newsticker/meldung/Photoshop-Co-Adobe-patcht-jetzt-doch-1574358.html).

Mit den jetzt veröffentlichten Updates können sich jetzt auch die Nutzer von CS5.x wieder sicher fühlen – rund einen Monat, nachdem die Lücken durch das kostspielige Upgrade auf den Nachfolger beseitigt wurden. Die Updates findet man in den oben verlinkten Advisories.

Quelle : www.heise.de
Titel: Flash-Update 11.3 flickt sieben Sicherheitslöcher
Beitrag von: SiLæncer am 09 Juni, 2012, 11:05
Adobe hat am Freitag seinen Flash-Player sowie die AIR-Laufzeitumgebung aktualisiert. Die Updates sollen sieben Sicherheitslücken beseitigen, die neben Windows, Mac OS und Linux auch Android-Smartphones betreffen.

Adobe zufolge können die gefundenen Sicherheitslücken den Flash-Player zum Absturz bringen und Angreifern damit Zugriff auf das betroffene System verschaffen.

Unter anderem führt der Hersteller in seiner Mitteilung zwei Speicherfehler, einen Stapelüberlauf sowie eine Möglichkeit zur Umgehung der Modul-Sicherheit auf, über die sich Daten ausspähen lassen. Darüber hinaus soll das Update auch eine Sicherheitslücke im Flash-Installationsprogramm beseitigen.

Für das Finden der Sicherheitslücken bedankt sich Adobe bei Fortinet, Google, iDefense, Microsoft, Symantec und einem "anonymen Berichterstatter".

Die aktuelle Revisionsnummer von Flash für Windows und Mac OS lautet 11.3.300.257. Die Linux-Version trägt die Revisionsnummer 11.2.202.236. Das Plug-in für Android 4 wird auf 11.1.115.9 aktualisiert, das für Android 3 und 2 auf die schöne Zahl 11.1.111.10. Adobe AIR wird plattformübergreifend auf die Revision 3.3.0.3610 gepatcht (Android, Mac OS und Windows).

Linux-, Mac-OS- und Windows-Anwender können die jeweiligen Updates bei Adobe herunterladen (http://www.adobe.com/products/flashplayer/distribution3.html). Android-Anwender erhalten die Updates über den Android-Marktplatz "Google Play".

Da Google Chrome das Plug-in fest integriert, ist auch hier ein Update fällig (http://www.dvbcube.org/index.php?topic=24708.msg174424#msg174424): Die Chrome-Version mit dem aktualisierten Flash-Plug-in soll die Revisionsnummer 19.0.1084.56 tragen.

Quelle : www.heise.de
Titel: Verflickt: Flash-Patch bringt Firefox 13 zum Straucheln
Beitrag von: SiLæncer am 15 Juni, 2012, 19:00
Die aktuelle Version 11.3 des Flash-Plug-ins bringt Firefox 13 vermehrt zum Absturz. Die Problemquelle scheint ausgerechnet der jüngst eingeführte "Protected Mode" zu sein, der das Plug-in von seiner Umgebung abschotten soll. Mittlerweile ist die Zahl der betroffenen Anwender so hoch, dass sowohl Adobe als auch Mozilla unterschiedliche Ansätze zur Problemlösung bereitstellen.

Viele der Abstürze scheinen auf Wechselwirkungen des Flash-Players mit anderen installierten Plug-ins zu beruhen – insbesondere solchen, die eine Option zur "Aufnahme" von Flash-Videostreams anbieten. Explizit nennt Mozilla dabei die Firefox-Erweiterung "RealPlayer Browser Record". Mozilla empfiehlt eine Deaktivierung des Plug-ins und hat es in seiner Schwarzen Liste aufgenommen. In der Blocklist enthaltene Module sind als unsicher oder instabil bekannt. Firefox deaktiviert die in der Liste enthaltenen Erweiterungen automatisch, der Anwender kann sie aber per Hand reaktivieren.

Eine andere Möglichkeit zur Abhilfe besteht darin, den Protected Mode zu deaktivieren. Hierfür muss man unter Windows 7 oder Vista die Konfigurationsdatei "mms.cfg" um die Zeile "ProtectedMode=0" ergänzen. Da der Protected Mode bei Windows XP grundsätzlich nicht zum Einsatz kommt, kann man sich den Schritt hier sparen.

Bei einem 64-bittigen Windows 7 oder Vista liegt die mms.cfg-Datei in <%windir%\syswow64\macromed\flash>; bei einem 32-Bit-Windows in <%windir%\system32\macromed\flash>. Für diese Änderung muss man die Datei mit Administratorrechten bearbeiten. Eine detaillierte Anleitung findet sich in Adobes FAQ zum Protected Mode (http://forums.adobe.com/thread/1018071).

Bei manchen Anwendern konnten einige Abstürze darauf zurückgeführt werden, dass die Out of Process Plugin Protection von Firefox manuell deaktiviert war. Ein Support-Artikel auf mozilla.org erklärt (http://support.mozilla.org/en-US/kb/flash-crashes-or-does-not-load-firefox-13#w_enable-out-of-process-plugin-protection-if-it-has-been-disabled), wie man diese Änderung wieder rückgängig machen kann.

Adobe geht bis zum Äußersten und gibt eine Anleitung (http://forums.adobe.com/message/4487439#4487439), wie man den Flash-Player durch eine ältere Version ersetzen kann. Hier sollte man auf keinen Fall auf den Build 11.2 zurückgehen – diese Version hat bekannte schwerwiegende Sicherheitslücken, die bereits aktiv ausgenutzt werden. Stattdessen soll man den Flash-Player 10.3 (http://forums.adobe.com/thread/889580) installieren, in dem dieselben Lücken gestopft sind wie bei der Revision 11.3. Der Hersteller versorgt Adobe Flash 10 für Firmenkunden parallel zu den 11er-Releases weiter mit Sicherheits-Patches.

Quelle : www.heise.de
Titel: Re: Verflickt: Flash-Patch bringt Firefox 13 zum Straucheln
Beitrag von: ritschibie am 16 Juni, 2012, 10:30
Firefox hat wohl heute reagiert. Jedenfalls habe ich ein Update auf 13.01 bekommen. Ich hatte auch schon zweimal Probs mit dem Flash-Player...
Titel: Re: Verflickt: Flash-Patch bringt Firefox 13 zum Straucheln
Beitrag von: SiLæncer am 16 Juni, 2012, 10:34
Jo...siehe auch hier : http://www.dvbcube.org/index.php?topic=5717.msg174724#msg174724
Titel: Firefox 13.0.1: Update hilft nicht bei Problem mit Flash-Videos
Beitrag von: ritschibie am 18 Juni, 2012, 09:54
Nachtrag vom 18. Juni 2012, 9:34 Uhr

Entgegen den Aussagen in der ersten Artikelfassung korrigiert das Update auf Firefox 13.0.1 nicht die Probleme bei der Flash-Wiedergabe, die somit weiter bestehen.

Quelle: www.golem.de

Titel: Flash-Update soll Absturzursache beseitigen
Beitrag von: SiLæncer am 22 Juni, 2012, 17:00
Das vor einigen Tagen veröffentlichte Update des Firefox 13 half nicht zuverlässig, nun soll ein neuer Flash-Player die Ursache für Abstürze des Browsers unter Windows beseitigen: Adobe veröffentlichte ein Update der Version 11.3 seines Plug-ins.

Das Problem soll mit dem kürzlich in der Windows-Version des Player eingeführten Protected Mode für den Firefox-Browser zusammenhängen. Er isoliert das Plug-in, indem er es in einer eigenen, abgeschotteten Umgebung ("Sandbox") ausführt. Einige Anwender berichteten auch nach dem jüngsten Firefox-Update noch von Crashes, wenn sie Flash-Inhalte im Protected Mode anschauten. Adobes neue Version soll zwar diese Lücke beheben, gleichzeitig berichten die Release-Notes (http://helpx.adobe.com/flash-player/release-note/enduser-release-notes-11_3.html) jedoch von verzerrtem Sound beim Streamen einiger Flash-Filme.

Wer den eingebauten Updater des Plug-in aktiviert hat, bekommt die neue Version automatisch installiert. Alle anderen können sie bei Adobe herunterladen (http://get.adobe.com/flashplayer/).

Quelle : www.heise.de
Titel: Adobe patcht Flash, Reader, Acrobat und Shockwave
Beitrag von: ritschibie am 15 August, 2012, 10:49
Neben Microsoft hat auch Adobe seinen Patchday vollzogen und dabei kritische Lücken in zahlreichen Produkten geschlossen. Darunter befindet sich eine kritische Schwachstelle im Flash Player 11.3.300.270 (und älter), die bereits aktiv für gezielte Angriffe ausgenutzt wird.

Abhilfe schafft das Update auf die Version 11.3.300.271 für Windows und Mac OS X sowie auf 11.2.202.238 für Linux. Google hat bereits reagiert und die Chrome-Version 21.0.1180.79 herausgegeben, die den aktualisierten Flash-Player mitbringt. Welche Version des Flash-Plugins der eingesetzte Browser gerade nutzt, erfährt man auf einer speziellen Testseite.

Eine ganze Reihe kritischer Speicherfehler musste Adobe sowohl in der Windows- als auch in der Mac-Ausgabe vom Reader und Acrobat schließen. Verwundbar sind die Versionen X 10.1.3 (und älter) sowie 9.5.1 (und älter). Die Fehler können Angreifer potenziell zum Einschleusen von Schadcode missbrauchen. Abhilfe schaffen die Updates auf die Versionen X (10.1.4) und 9.5.2. Die passenden Links findet man im Advisory.

Weitere fünf Speicherfehler hat das Unternehmen in seinem Shockwave Player für Windows und Mac OS X behoben. Verwundbar sind alle Versionen bis 11.6.5.635, die fehlerbereinigte Version heißt 11.6.6.636.

Quelle: www.heise.de
Titel: Google warnt vor Adobe Reader – besonders auf Linux
Beitrag von: SiLæncer am 15 August, 2012, 20:00
Adobe hat an seinem August-Patchday zahlreiche kritische Speicherfehler in seinem Reader für Windows und Mac OS X geschlossen, dabei allerdings die Linux-Nutzer außen vor gelassen. Die Entdecker der Schwachstellen befürchten nun, dass man durch einen Vergleich der aktuellen Windows-Version des Readers und der Vorversion genügend Anhaltspunkte zum Bau von Exploits erhält. Linux-Nutzer wären diesen schutzlos ausgeliefert. Darüber hinaus gibt es selbst in den gepatchten Versionen noch insgesamt 16 offene Sicherheitslücken.

Die Google-Mitarbeiter Mateusz Jurczyk und Gynvael Coldwind untersuchten zunächst die PDF-Engine des Chrome-Browsers, wobei sie zahlreiche Lücken fanden. Anschließend testeten sie auch den Adobe Reader und entdeckten rund 60 Absturzursachen, von denen sich 40 potenziell für Angriffe ausnutzen lassen. Nachdem die beiden Adobe über ihre Funde informierten, versprach der Hersteller Linderung – ließ jedoch auch durchblicken, dass nicht alle Lücken am August-Patchday geschlossen werden.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Google-warnt-vor-Adobe-Reader-besonders-auf-Linux-1667966.html)

Quelle : www.heise.de
Titel: Re: Google warnt vor Adobe Reader – besonders auf Linux
Beitrag von: dvb_ss2 am 16 August, 2012, 13:11
Unter Linux nutze ich aktuell nur den normalen Dokumentbetrachter. Adobe Reader habe ich unter Linux noch nie benutzt.

War wohl 'ne gute Entscheidung. ;)

dvb_ss2
Titel: Re: Google warnt vor Adobe Reader – besonders auf Linux
Beitrag von: Jürgen am 17 August, 2012, 01:34
Sehe ich genauso.

Einen freien PDF-Viewer bringen die meisten Tuxe schon seit vielen Jahren mit.
Daher habe auch ich dort noch nie den von Adobe installiert.

Und unter Windows auch schon seit bald zehn Jahren nicht mehr.
Auch wenn z.B. ElStEr mit manchen freien PDF-Viewern übel herumzickt.
Hartnäckiges Ignorieren von Fehlermeldungen kann aber helfen.

Leider ist es bei Flash noch nicht ganz so leicht  ::)
Das ist nämlich nicht weniger gefährlich, zumal im Web kaum zu vermeiden.

Jürgen
Titel: Noch ein Notfallpatch für Adobes Flash Player
Beitrag von: SiLæncer am 22 August, 2012, 12:22
Adobe muss nur wenige Tage nach dem letzten Flash-Player-Update noch einen Sicherheitspatch nachreichen. Erneut werden gefährliche Sicherheitslücken beseitigt.

Für den Flash Player hat Adobe aufgrund schwerer Sicherheitslücken erneut einen Sicherheitspatch veröffentlicht. In seinem Sicherheitsdokument APSB12-19 listet Adobe gleich sechs CVE-Nummern, die offenbar bei der Flash-Player-Aktualisierung der vergangenen Woche nicht berücksichtigt wurden. Das letzte Update war ein geplantes Update, das bereits am 9. August angekündigt wurde. Der aktuelle Patch kommt ohne Vorwarnung für Administratoren und Anwender.

Betroffen ist erneut eine ganze Reihe von Betriebssystemen: neben Windows, Mac OS X und Linux auch Android 3 und 4. Auf den Systemen kann der Angreifer Schadcode ausführen und so die Kontrolle über das Gerät übernehmen. Laut Adobe sollten vor allem Windows-Nutzer schnell den neuen Player installieren.

Der Flash Player sollte über die automatischen Updatemechanismen von Adobe verteilt werden. Wer sofort sicherstellen will, dass der Flash Player aktuell ist, kann ihn manuell bei Adobe herunterladen.

Adobe verzichtet seit dem zweiten Quartal 2012 auf die Quartalspatchdays und kündigt seine Patchdays seither mehrere Tage vorher an. Im Notfall kann so ein Patch aber auch sehr schnell erscheinen.

Quelle : www.golem.de
Titel: pwdump7: Schadsoftware mit Adobe-Zertifikat
Beitrag von: ritschibie am 28 September, 2012, 11:54
(http://www.golem.de/1209/sp_94805-44005-i.png)
Missbrauchtes Zertifikat wird am
4. Oktober 2012 zurückgezogen. (Bild: Adobe)
Angreifern ist es offenbar gelungen, Malware mit einem Zertifikat von Adobe zu signieren, so dass bei deren Installation unter Windows keine Warnungen auftreten. Adobe hat angekündigt, das entsprechende Zertifikat zurückzuziehen.

Adobe kündigt an, am 4. Oktober 2012 ein Zertifikat zum Signieren von Windows-Programmen zurückzuziehen. Grund dafür: Es ist Angreifern gelungen, Malware mit Adobes Zertifikat zu unterschreiben, so dass Windows keine Warnungen anzeigt, wenn versucht wird, die Malware zu installieren. Windows geht aufgrund der Signatur davon aus, die Software stammt von Adobe.

Adobe wurden am 12. September konkret zwei Programme zugespielt, die mit einem Adobe-Zertifikat signiert wurden: pwdump7 v7.1 und Mygeeksmail.dll. Die Software pwdump7 liest Passwort-Hashes aus Windows aus, bei Mygeeksmail.dll handelt es sich vermutlich um einen Isapi-Filter. Die Dateien tauchten laut Adobe am 25. und 26. Juli 2012 erstmals auf.

Was war passiert?

Laut Adobe verschafften sich die Angreifer Zugang zu einem Build-Server, der Zugriff auf Adobes Code-Signatur-Dienst hat. Der Server sei nicht entsprechend Adobes Unternehmensstandard konfiguriert gewesen, was im normalen Provisioning-Prozess aber nicht aufgefallen sei. Warum das nicht erkannt wurde, ist derzeit noch unklar.

Die Angreifer haben nach Adobes Erkenntnissen keinen Zugriff auf die privaten Schlüssel von Adobe gehabt, sollen aber in der Lage gewesen sein, ihre Software von Adobes internem Dienst signieren zu lassen. Der betroffene Build-Server habe zudem nur Zugriff auf den Code eines einzelnen Adobe-Produkts gehabt, und es gebe keinen Hinweis darauf, dass Quellcode gestohlen wurde.

Um weitere Probleme auszuschließen, hat Adobe eine komplett neue Signatur-Infrastruktur aufgesetzt, mit der sämtliche Programme noch einmal neu signiert werden, die mit dem von den Angreifern genutzten Schlüssel signiert wurden. Dabei ist diesmal ein Mensch zwischengeschaltet, der alle Signaturanfragen freigeben muss.

Am 4. Oktober 2012 soll der betroffene Schlüssel nun für sämtlichen Code, der nach dem 10. Juli 2012 damit signiert wurde, zurückgezogen werden.

Quelle: www.golem.de
Titel: Sicherheitsupdate für den Flash Player
Beitrag von: SiLæncer am 09 Oktober, 2012, 13:03
Adobe muss erneut den Flash Player aktualisieren. Die neuen Versionen beseitigen gefährliche Sicherheitslücken in den Versionen für Windows, Mac OS X, Linux sowie Android. Anwender sollten möglichst schnell ihren Flash Player austauschen.

Adobe hat ein Security Bulletin für den Flash Player herausgegeben, das vor gefährlichen Sicherheitslücken warnt. Betroffen sind zahlreiche Versionen für Windows, Mac OS X, Linux und auch das mobile Betriebssystem Android. Android-Nutzer sind in der Masse aber nicht so sehr betroffen, da Adobe den Vertrieb bereits weitgehend eingestellt hat. So wurde der Flash Player bereits Mitte August 2012 aus dem Play Store entfernt. Wer dennoch einen Flash Player auf seinem Android-Gerät installiert hat, dürfte über die Updatefunktion bereits eine Benachrichtigung erhalten haben.

Der ganze Artikel (http://www.golem.de/news/adobe-sicherheitsupdate-fuer-den-flash-player-1210-94980.html)

Quelle : www.golem.de
Titel: Adobe schließt kritische Shockwave-Lücken
Beitrag von: SiLæncer am 23 Oktober, 2012, 19:00
Adobe schließt mit der Shockwave-Version 11.6.8.638 (http://get.adobe.com/de/shockwave/) für Windows und Mac OS X zahlreiche kritische Lücken (http://www.adobe.com/support/security/bulletins/apsb12-23.html), durch die ein Angreifer potenziell Schadcode ins System schleusen kann. Insgesamt sind den Schwachstellen sechs CVE-Nummern zugeordnet. Es handelt sich vor allem um Pufferüberläufe.

Adobe hat dem Update die Prioritätsstufe zwei verpasst. Das beutet, dass Shockwave zwar ein häufiges Angriffsziel ist, derzeit aber noch keine Exploits für die Lücken bekannt sind. Das Unternehmen empfiehlt, das Update "bald" einzuspielen.

Quelle : www.heise.de
Titel: Umfangreiches Sicherheitsupdate für Flash und AIR
Beitrag von: SiLæncer am 06 November, 2012, 20:00
Adobe hat neue Versionen seines Flash-Players für sämtliche Plattformen herausgegeben und schließt damit zahlreichen kritische Sicherheitslücken. Den Schwachstellen sind insgesamt sieben CVE-Nummern zugeordnet. Es handelt sich dabei vor allem um Pufferüberläufe, durch die ein Angreifer Schadcode ins System schleusen kann. Entdeckt wurden die Lücken von Googles Sicherheitsteam.

Der ganze Artikel (http://www.heise.de/security/meldung/Umfangreiches-Sicherheitsupdate-fuer-Flash-und-AIR-1744764.html)

Quelle : www.heise.de
Titel: Adobe: Patch schließt gefährliche Sicherheitslücken im Flash Player
Beitrag von: ritschibie am 12 Dezember, 2012, 10:26
(http://www.golem.de/1108/85619-18560-i.jpg)
Sicherheitsupdate für
Flash Player
(Bild: Adobe)
Adobe hat einen Sicherheitspatch für den Flash Player veröffentlicht, der mehrere als gefährlich eingestufte Sicherheitslücken beseitigt. Die Sicherheitslecks können alle zur Ausführung von Schadcode missbraucht werden. Auch für AIR gibt es einen Sicherheitspatch.

Drei Sicherheitslücken stecken im Flash Player für alle Plattformen. Die Sicherheitslöcher können Angreifer dazu missbrauchen, beliebigen Schadcode auszuführen und so ein fremdes System unter ihre Kontrolle zu bringen. Adobe stuft die Sicherheitslecks als gefährlich ein. Zwei der drei Fehler wurden von Google-Entwicklern entdeckt und an Adobe gemeldet. Es liegen derzeit keine Informationen dazu vor, ob sie im Flash Player aktiv ausgenutzt werden.

Die Sicherheitslücken betreffen alle aktuellen Versionen des Flash Players für Windows, Mac OS, Linux und Android. Windows-Nutzer können sich den aktuellen Flash Player mit der Version 11.5.502.135 über Adobes Webseite herunterladen. Für Mac-OS-Nutzer wurde die Version 11.5.502.136 veröffentlicht, auf Linux-Versionen lautet die aktuelle Versionsnummer 11.2.202.258.

Nutzer von Googles Chrome-Browser erhalten laut Adobe eine aktualisierte Version, mit der die Sicherheitslücken im Flash-Player-Plugin beseitigt werden. Innerhalb von Chrome lautet die aktuelle Flash-Version 11.5.31.5. Auch Nutzer des Internet Explorer 10 für Windows 8 erhalten nach Angabe von Adobe eine neue Flash-Version über ein Browserupdate. In diesem Fall lautet die Flash-Version nach dem Update 11.3.377.15.
Flash-Update für Android wird über den Play Store verteilt

Ein Update des Flash Players für Android 2.x sowie 3.x und Android 4.x wird automatisch über Googles Play Store verteilt. Dazu muss der Flash Player bereits auf dem Android-Gerät installiert sein, denn seit Mitte August 2012 gibt es den Flash Player nicht mehr im Play Store. Für Android 2.x und 3.x lautet die aktuelle Versionsnummer 11.1.111.29 und für Android 4.x gibt es die Version 11.1.115.34.

Sicherheitslecks stecken auch in AIR

Auch für AIR von Adobe steht ein Update bereit, um die oben genannten Sicherheitslecks zu beseitigen. Windows-Anwender sollten AIR 3.5.0.880 installieren und für Mac-OS-Systeme wurde AIR 3.5.0.890 veröffentlicht. Für Android-Geräte steht AIR in der Version 3.5.0.880 in Googles Play Store als Download zur Verfügung.

Quelle: www.golem.de
Titel: Hotfix stopft kritische Lücken in Adobes ColdFusion
Beitrag von: ritschibie am 16 Januar, 2013, 10:20
Adobe dichtet mit einem Hotfix mehrere kritische Lücken in seinem ColdFusion-Server ab, die bereits aktiv für Hackerangriffe missbraucht werden. Durch eine der Schwachstellen können Angreifer aus der Ferne die Authentifizierung umgehen und potenziell die Kontrolle über den Server übernehmen.

Durch eine weitere Schwachstelle können Angreifer auf geschützte Verzeichnisse zugreifen. Die Dritte ermöglicht bei einem bereits kompromittierten Server den Zugriff auf sicherheitskritische Informationen. Hiervon ist Version 10 nicht betroffen.

Quelle: www.heise.de
Titel: Notfall-Patches für Adobe-Reader sind auf dem Weg
Beitrag von: SiLæncer am 17 Februar, 2013, 16:30
Die vor wenigen Tagen bekanntgewordene Lücke im Adobe Reader und in Acrobat will der Hersteller mit Patches beheben, die in der nächsten Woche bereitstehen soll. Das geht aus einem Blog-Beitrag vom gestrigen Samstag hervor.

Speziell präparierte PDF-Dokumente können die Schwachstelle ausnutzen, um Schadcode auf dem Rechner zu installieren. Betroffen sind nach bisherigen Erkenntnissen Acrobat XI, X und 9.5.3 für Windows und Mac OS X sowie der Reader 9.5.3 und früher unter Linux. Bis die Patches verfügbar sind, sollten Anwender einen alternativen PDF-Viewer benutzen oder andere Sofortmaßnahmen ergreifen.

Quelle : www.heise.de
Titel: Adobes Notfall-Patch für den Reader
Beitrag von: SiLæncer am 20 Februar, 2013, 20:00
Nur eine Woche nach der Bestätigung mehrerer kritischer Lücken im Adobe Reader veröffentlicht der Hersteller neue Versionen. Betroffen waren die Reader- und Acrobat-Versionen 9, X und XI von Windows, Mac OS X und Linux. Die abgesicherten Programme tragen die Versionsnummern 9.5.4, 10.1.6 und 11.0.02.

Beseitigt werden laut Sicherheitsnotiz zwei Lücken, zu deren Natur Adobe jedoch keine Angaben macht. Da die Schwachstellen jedoch bereits aktiv ausgenutzt werden, um Systeme beim Öffnen spezieller PDF-Dateien mit Spionage-Software zu infizieren, rät der Herstelle zu einem zügigen Update. Dies geschieht zwar nach einer bestimmten Zeit automatisch, man kann den Vorgang aber unter "Hilfe" im jeweiligen Programm auch manuell anstoßen.

Quelle und Links : http://www.heise.de/newsticker/meldung/Adobes-Notfall-Patch-fuer-den-Reader-1807224.html
Titel: Schon wieder Notfall-Update für Flash-Player
Beitrag von: ritschibie am 27 Februar, 2013, 10:50
Die letzte Aktualisierung des Flash Players ist gerade einmal zwei Wochen her – jetzt ist es schon wieder soweit. Aufgrund zweier bereits aktiv ausgenutzten Sicherheitslücken hat Adobe für Mac OS und Windows die Revision 11.6.602.171 veröffentlicht.

Zwei der Lücken lassen sich ausnutzen, um beliebigen Code auszuführen – eine betrifft die ActionScript-Funktion ExternalInterface; die andere einen Pufferüberlauf. Die dritte Lücke kompromittiert die im Web-Browser Firefox implementierte Sandbox und wird Adobe zufolge bereits zur Unterwanderung von Systemen genutzt. Über Tricks führen Angreifer ihre Opfer auf Webseiten mit präparierten SWF-Dateien, bei deren Wiedergabe das Plug-in abstürzt. Die Lücken betreffen sowohl Linux als auch Mac OS und Windows, Android dieses Mal wohl nicht. Der Pufferüberlauf wurde Adobe von IBMs Sicherheitsabteilung X-Force gemeldet.

Die Exploits tragen die CVE-IDs CVE-2013-0504, CVE-2013-0643 und CVE-2013-0648. Aktuell zeigt die Datenbank der Common Vulnerabilities and Exposures für diese Codes noch Platzhalter.

Beim aktuellen Update handelt es sich schon um den dritten Flash-Patch im Februar. Anfang des Monats erschien für Mac OS und Windows der Flash Player 11.5.502.149; am 12. Februar folgte die Revision 11.6.602.168. Für Linux ist ab sofort die Revision 11.2.202.273 aktuell. Der Internet Explorer 10 bringt sich unter Windows 8 selbsttätig auf den neuesten Stand. Auch Google Chrome aktualisiert sich automatisch; hier lautet die aktuelle Versionsnummer 25.0.1364.97 m.

Wer den Flash-Player per Hand über die Adobe-Website aktualisiert, sollte darauf achten, vor dem Download die Option zum Herunterladen des Zusatzprogramms McAfee Security Scan Plus abzuwählen.

Quelle: www.heise.de
Titel: Flash: Unseren monatlichen Patch gib uns heute
Beitrag von: SiLæncer am 12 März, 2013, 22:00
Zwei Wochen nach der letzten Aktualisierung des Flash-Players ist der nächste Patchday gekommen. Waren zuletzt nur Mac OS und Windows betroffen, sind diesmal alle dran : Android 2/3/4, Linux, Mac OS und Windows sowie sämtliche AIR-Laufzeitbibliotheken und das Air-SDK. Die höchste Priorität gibt das Security Bulletin APSB13-09 dem Update der Windows-Version vom bisherigen Build 11.6.602.171 auf die neue Revision 11.6.602.180, gefolgt von der Version für Mac OS.

Drei der durch den Patch gestopften Lücken können zur Ausführung eigenen Codes führen: CVE-2013-0646 führt zu einem Ganzzahlüberlauf, CVE-2013-1371 verursacht einen Speicherfehler und CVE-2013-1375 einen Speicherüberlauf. Die vierte Lücke mit der ID CVE-2013-0650 lässt sich dazu missbrauchen, beliebigen Code auszuführen. Momentan zeigt die Datenbank der Common Vulnerabilities and Exposures (CVE) für diese IDs nur Platzhalter; Details dürften bald folgen.

Der ganze Artikel (http://www.heise.de/security/meldung/Flash-Unseren-monatlichen-Patch-gib-uns-heute-1821756.html)

Quelle : www.heise.de
Titel: Dringende Sicherheitspatches für ColdFusion, Adobe Reader, Acrobat und Flash
Beitrag von: SiLæncer am 14 Mai, 2013, 21:25
Adobe hat anlässlich seines Mai-Patchdays nicht nur etliche kritische Schwachstellen in Adobe Reader, Acrobat und Flash geschlossen, sondern auch einen wichtigen Hotfix für Coldfusion herausgegeben. Er dichtet ein Sicherheitsloch ab, durch das bereits reihenweise Server kompromittiert wurden.

Zunächst die Updates, die wohl fast alle betreffen: Im Flash Player und Air hat Adobe zahlreiche Sicherheitslücken ausgebessert, denen insgesamt 13 CVE-Nummern zugeordnet sind. Bei den Lücken handelt es sich um Speicherfehler, die sich zum Einschleusen von Schadcode eignen. Das Flash-Update für Windows hat die höchstmögliche Prioritätsstufe, Windows-Nutzer sollten also nicht lange zögern. Die aktuelle Versionsnummer lautet hier 11.7.700.202.

Der ganze Artikel (http://www.heise.de/security/meldung/Dringende-Sicherheitspatches-fuer-ColdFusion-Adobe-Reader-Acrobat-und-Flash-1863078.html)

Quelle : www.heise.de
Titel: Adobe Patchday: Letztes Sicherheitsupdate für Flash 10.3
Beitrag von: SiLæncer am 11 Juni, 2013, 22:36
Adobe muss wie fast jeden Monat zahlreiche Lücken in seinen Flash-Playern schließen. Zudem beendet Adobe den Support für Flash 10.3 mit diesem letzten Update. Mit dem nächsten Patchday wird nur noch Flash 11.7 unterstützt.

Mit dem Juni-Patchday von Adobe werden wieder mehrere Sicherheitslücken im Flash Player und in Air beseitigt, die fast alle Betriebssysteme betreffen. Angreifer können bei veralteten Versionen den Flash Player zum Absturz bringen und Kontrolle über das angegriffene System übernehmen.

Der ganze Artikel (http://www.golem.de/news/adobe-patchday-letztes-sicherheitsupdate-fuer-flash-10-3-1306-99756.html)

Quelle : www.golem.de
Titel: Adobe dichtet Flash Player, Shockwave und ColdFusion ab
Beitrag von: SiLæncer am 10 Juli, 2013, 13:30
Adobe hat Sicherheitsupdates für seinen Flash Player, den Shockwave Player und Hotfixes für ColdFusion herausgegeben. Mit den Updates werden kritische Schwachstellen geschlossen. Bei den gestopften Lücken in ColdFusion handele es sich um eine "kritische" und eine "wichtige".

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Adobe-dichtet-Flash-Player-Shockwave-und-ColdFusion-ab-1914396.html)

Quelle : www.heise.de
Titel: Adobe stopft Lücken in Reader, Acrobat und Flash
Beitrag von: SiLæncer am 11 September, 2013, 15:00
Im Zuge des monatlichen Patchdays am gestrigen Dienstag hat Adobe drei Sicherheits-Bulletins für den Flash Player, Adobe Reader und Acrobat sowie den Shockwave Player herausgegeben. Das Flash-Player-Update behebt eine Reihe von kritischen Speicherverletzungen, die Angreifer dazu benutzen können, Schadcode einzuschleusen und auszuführen – hiervon sind alle Platformen betroffen.

Ein Sammel-Update für Reader und Acrobat in den Versionen X und XI flickt drei Pufferüberläufe sowie eine Speicherverletzung, die ebenfalls zum Ausführen von Schadcode missbraucht werden können. Auch diese Probleme werden als kritisch eingestuft. Auch mit dem Shockwave Player kann ein Angreifer Schadcode mit Hilfe von zwei Speicherverletzungs-Problemen einschleusen, der Patch von Adobe behebt dies sowohl für Windows als auch Mac OS X.

Der ganze Artikel (http://www.heise.de/security/meldung/Adobe-stopft-Luecken-in-Reader-Acrobat-und-Flash-1954295.html)

Quelle : www.heise.de
Titel: Adobe flickt Reader, Acrobat und RoboHelp
Beitrag von: SiLæncer am 09 Oktober, 2013, 16:21
Neben Microsoft hat auch Adobe am gestrigen Patchday zwei Sicherheitslücken geschlossen. Den ersten Patch hatte Adobe schon vorige Woche angekündigt; er betrifft eine kritische Lücke in Reader und Acrobat XI für Windows. Der zweite betrifft das Entwicklungswerkzeug RoboHelp und behebt eine ebenfalls als kritisch eingestufte Lücke. RoboHelp wird nur für Windows angeboten.

Der ganze Artikel (http://www.heise.de/security/meldung/Adobe-flickt-Reader-Acrobat-und-RoboHelp-1975696.html?wt_mc=sm.feed.tw.security)

Quelle : www.heise.de
Titel: Wichtiges Flash-Update von Adobe
Beitrag von: SiLæncer am 13 November, 2013, 14:18
Speicherverwaltungsprobleme im Flash Player, die potentiell für die Ausführung von Schadcode genutzt werden können, wurden von Adobe mit einem Update am Patchday behoben. Betroffen ist Flash-Version 11.9.900.117 auf Windows und Mac OS X und Version 11.2.202.310 unter Linux, sowie die Versionen 3.9.0.1030 und 3.9.0.1060 von Adobe AIR. Ein weiteres Sicherheitsupdate wurde für den Applikationsserver ColdFusion veröffentlicht.

Der ganze Artikel (http://www.heise.de/security/meldung/Wichtiges-Flash-Update-von-Adobe-2044691.html)

Quelle : www.heise.de
Titel: Notfall-Update gegen kritische Flash-Lücke
Beitrag von: SiLæncer am 04 Februar, 2014, 21:30
In diversen Versionen von Adobe Flash klafft eine kritische Sicherheitslücke, die Cyber-Kriminelle bereits zum Einschleusen von Code missbrauchen. Adobe reagiert mit Notfall-Updates.

Neue Sicherheitsupdates schließen eine gefährliche Schwachstelle im Adobe Flash Player, für die es bereits einen Exploit gibt. Betroffen sind alle Flash-Player-Versionen bis einschließlich 12.0.0.43 für Windows und Mac OS X sowie bis einschließlich Version 11.2.202.335 für Linux. Bei der Lücke handelt es sich um einen Integer Overflow, der die CVE-Nummer CVE-2014-0497 zugewiesen wurde.

Für Abhilfe sorgen die folgenden Versionen:

    12.0.0.44 für Windows und Mac OS X
    11.7.700.261 für WIndows und Mac OS X
    11.2.202.336 für Linux

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Notfall-Update-gegen-kritische-Flash-Luecke-2105571.html)

Quelle : www.heise.de
Titel: Adobe flickt kritische Zero-Day-Lücke in Flash
Beitrag von: SiLæncer am 21 Februar, 2014, 14:15
Adobe warnt vor einer kritischen Lücke im Flash Player, zum zweiten Mal in diesem Monat. Nutzer sollten schnellstmöglich updaten, denn die Lücke wird aktiv für Angriffe ausgenutzt.

Adobe warnt das zweite Mal in diesem Monat vor einer kritischen Lücke im Flash Player, die bereits für Angriffe ausgenutzt wird. Angreifer können die Sicherheitslücke missbrauchen, um beliebigen Schadcode auf den Rechnern ihrer Opfer auszuführen. Die Firma hat einen Notfallpatch veröffentlicht und empfiehlt allen Nutzern, das Update so schnell wie möglich einzuspielen. Von der Lücke betroffen sind die Flash-Versionen für Windows, Mac OS X und Linux.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Adobe-flickt-kritische-Zero-Day-Luecke-in-Flash-2120557.html)

Quelle : www.heise.de
Titel: Adobe beseitigt kritische Shockwave-Lücke
Beitrag von: SiLæncer am 14 März, 2014, 11:28
Die Firma hat eine kritische Sicherheitslücke im Shockwave Player für Windows und Mac OS X geschlossen, die es einem Angreifer ermöglicht, die Kontrolle über das System eines Opfers zu erhalten.

Zwei Tage nach dem Flash-Update am Patchday hat Adobe nun ein weiteres Update veröffentlicht, um eine als "kritisch" eingestufte Sicherheitslücke (CVE-2014-0505) im Shockwave Player zu stopfen. Die Sicherheitslücke in der Speicherverwaltung der Software ermöglicht es Angreifern, Schadcode auf dem System eines Opfers auszuführen und dieses aus der Ferne zu übernehmen.

Betroffen sind Shockwave-Versionen bis 12.0.9.149 auf Windows und Mac OS X. Adobe rät Nutzern von Shockwave auf Version 12.1.0.150 zu aktualisieren. Diese kann von Adobes Webseite heruntergeladen werden. Da Shockwave auf vielen Systemen eigentlich gar nicht mehr benötigt wird, kann eine Deinstallation der Software das Sicherheitsrisiko ebenso beseitigen.

Quelle und Links : http://www.heise.de/newsticker/meldung/Adobe-beseitigt-kritische-Shockwave-Luecke-2144019.html
Titel: Adobe schließt vier kritische Flash-Lücken
Beitrag von: SiLæncer am 09 April, 2014, 16:52
Das Update behebt Schwachstellen, die ein Angreifer dazu missbrauchen könnte, die Kontrolle über ein betroffenes System zu übernehmen. Betroffen sind Flash 12 auf Windows und Mac OS X und die aktuelle Flash-Version unter Linux.

An seinem April-Patchday hat Adobe ein Update für den Flash Player herausgegeben, welches vier kritische Sicherheitslücken schließt, durch die ein Angreifer die Kontrolle über ein betroffenes System übernehmen könnte. Betroffen sind alle Flash-Player-Versionen bis einschließlich 12.0.0.77 auf Windows und Mac OS X sowie bis einschließlich 11.2.202.346 auf Linux. Adobe AIR, das Adobe AIR SDK und der Adobe AIR Compiler sind bis einschließlich Version 4.0.0.1628 verwundbar.

Der ganze Artikel (http://www.heise.de/security/meldung/Adobe-schliesst-vier-kritische-Flash-Luecken-2166819.html)

Quelle : www.heise.de
Titel: Patchday: Adobe flickt Flash und Illustrator
Beitrag von: SiLæncer am 14 Mai, 2014, 13:30
Adobe hat am Mai-Patchday Sicherheitsupdates für Lücken im Flash-Player und in Adobe Illustrator CS6 herausgegeben. Die Updates für beide Programme werden von der Firma als kritisch eingeschätzt.

Wie auch Microsoft hat Adobe am heutigen Patchday Updates veröffentlicht. Von Adobe kommen Aktualisierungen für Flash und AIR sowie Illustrator; beide Updates werden als "kritisch" eingestuft. Die geschlossenen Lücken in Flash könnten es einem Angreifer erlauben, betroffene Systeme aus dem Netz zu übernehmen. Das Update in Illustrator CS6 behebt ein Problem mit der Speicherverwaltung des Programms, welches dazu führen kann, dass Angreifer aus dem Netz Schadcode auf dem Computer des Opfers ausführen können.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Patchday-Adobe-flickt-Flash-und-Illustrator-2163246.html)

Quelle : www.heise.de
Titel: Flash 14 schließt sechs Lücken, Air bringt x86-Support für Android
Beitrag von: SiLæncer am 11 Juni, 2014, 13:33
Adobe hat Version 14 des Flash Players und von Adobe Air herausgegeben. Das Update enthält einige neue Funktionen. Sechs gestopfte Sicherheitslücken sorgen dafür, dass das Update unbedingt installiert werden sollte.

Adobe hat am gestrigen Patchday sechs kritische Sicherheitslücken im Flash-Player geschlossen. Die Bugfixes sind Teil der neuen Version Flash 14, die zur selben Zeit veröffentlicht wurde. Neben geschlossen Lücken enthält Flash 14 neue anisotrope Filter, welche die Darstellung von Texturen verbessern sollen. Adobe Air 14 unterstützt jetzt Android auf Intels x86-Architektur und bringt eine neue API (Air Gamepad), mit der sich Android-Geräte als Spiele-Controller mit einer Air-App verbinden lassen.

Der ganze Artikel (http://www.heise.de/security/meldung/Flash-14-schliesst-sechs-Luecken-Air-bringt-x86-Support-fuer-Android-2219180.html)

Quelle : www.heise.de
Titel: Adobe-Patchday: Updates für kritische Lücken in Flash, Acrobat und Reader
Beitrag von: SiLæncer am 13 August, 2014, 13:06
Adobe hat zwei Updates veröffentlicht, die sieben Lücken in Flash und ein Loch in Adobe Acrobat und Reader stopfen. Die Patches haben laut Adobe die höchste Prioritätsstufe und sollten so schnell wie möglich installiert werden.

Nach Microsoft hat auch Adobe am Patchday kritische Lücken in seiner Software geschlossen. Die Firma veröffentlichte Updates für den Flash Player und die Produkte Reader und Acrobat. Sowohl bei Flash als auch bei Adobe Reader und Acrobat können Angreifer Schadcode ausführen – die Lücken haben deshalb die höchste Priorität erhalten und müssen als kritisch erachtet werden. Adobe empfiehlt Nutzern, die Software so schnell wie möglich zu aktualisieren.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Adobe-Patchday-Updates-fuer-kritische-Luecken-in-Flash-Acrobat-und-Reader-2291325.html)

Quelle : www.heise.de
Titel: Adobe patcht Flash und ColdFusion
Beitrag von: SiLæncer am 15 Oktober, 2014, 13:28
Die Firma hat eine Reihe von kritischen Lücken im Flash-Player auf allen Betriebssystemen geschlossen, die es Angreifern erlauben, Schadcode über das Netz auszuführen. Auch der Application-Server ColdFusion wurde an drei Stellen abgedichtet.

Neben Microsoft hat auch Adobe am gestrigen Patchday Sicherheitsupdates veröffentlicht. Die Firma stopft damit Lücken im Flash Player und seiner App-Entwicklungsplattform AIR. Außerdem veröffentlichten die Entwickler eine Reihe von Updates, die Lücken im Webapp-Server ColdFusion schließen. Die Flash-Updates stuft Adobe mit Priorität 1 als gefährlicher ein als die ColdFusion-Patches, die nur Priorität 2 erhielten.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Adobe-patcht-Flash-und-ColdFusion-2424147.html)

Quelle : www.heise.de
Titel: Sicherheitsupdates für Adobe Flash und Air
Beitrag von: SiLæncer am 12 November, 2014, 19:36
Im Flash Player und in Adobe Air klaffen zahlreiche Schwachstellen, durch die Angreifer Schadcode ins System schleusen können. Man sollte daher zeitnah auf eine aktuelle Version umsatteln.

Adobe hat eine Reihe kritischer Sicherheitslücken in Flash und Air geschlossen, die schlimmstenfalls dazu führen können, dass ein Angreifer die Kontrolle über das System übernimmt. Für die Nutzer ist ein Update Plicht, denn alle älteren Versionen als die nun veröffentlichten sind verwundbar.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Sicherheitsupdates-fuer-Adobe-Flash-und-Air-2454852.html)

Quelle : www.heise.de
Titel: Adobe bessert Flash-Patch nach
Beitrag von: SiLæncer am 26 November, 2014, 13:45
Adobe stopft die im Oktober beseitigte Sicherheitslücke Flash erneut -- und diesmal gründlicher, heißt es in der Beschreibung.

Ein als kritisch eingestuftes Update für die Flash-Erweiterungen für Windows, Mac OS X und Linux soll ein Sicherheitsloch besser stopfen (CVE-2014-8439). Das am 14. Oktober veröffentlichte Flash-Update hatte es nur provisorisch gestopft, um das Ausnutzen der Lücke zu erschweren. Das aktuelle Update härte Flash zusätzlich gegen den Missbrauch eines Fehlers im Umgang mit Zeigern, heißt es in Adobes Sicherheits-Bulletin.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Adobe-bessert-Flash-Patch-nach-2465795.html)

Quelle : www.heise.de
Titel: Adobe-Patchday: Fixes für Flash, Reader und ColdFusion
Beitrag von: SiLæncer am 10 Dezember, 2014, 13:26
Nutzer von Flash, Reader und Acrobat sollten ihre Software aktualisieren. Eine Reihe kritischer Lücken erlauben es Angreifern, betroffene Systeme aus der Ferne zu kapern. Auch ColdFusion-Admins sollten updaten, um DoS-Angriffe zu verhindern.

An seinem Dezember-Patchday hat Adobe kritische Sicherheitsupdates für Flash sowie Adobe Reader und Acrobat veröffentlicht. Ein weiteres Update schließt eine Sicherheitslücke im Application-Server ColdFusion, welche die Software lahmlegen kann und so zu einem Denial of Service (DoS) führt. Das Flash-Update schließt insgesamt sechs Lücken, in Reader und Acrobat wurden gleich 20 Löcher gestopft.

Der ganze Artikel (http://www.heise.de/security/meldung/Adobe-Patchday-Fixes-fuer-Flash-Reader-und-ColdFusion-2485758.html)

Quelle : www.heise.de
Titel: Flash-Player deaktivieren! Sicherheits-Update lässt kritische Lücke offen
Beitrag von: SiLæncer am 22 Januar, 2015, 20:53
Adobe hat ein Sicherheitsupdate für seinen Flash-Player herausgegeben. Allerdings bleibt Flash verwundbar, da es eine kritische Schwachstelle offen lässt. Nutzer sollten das Plug-in deshalb bis auf Weiteres stilllegen.

Mit einem Sicherheitsupdate schließt Adobe eine Sicherheitslücke im Flash-Player, die bereits aktiv von Cyber-Ganoven ausgenutzt wird. Es handelt sich dabei aber nicht um die Lücke, über die heise Security vergangenen Mittwoch berichtete. Flash bleibt weiter angreifbar und sollte umgehend deaktiviert werden.

Der ganze Artikel (http://www.heise.de/security/meldung/Flash-Player-deaktivieren-Sicherheits-Update-laesst-kritische-Luecke-offen-2526789.html)

Quelle : www.heise.de
Titel: Adobe will Flash-Lücke erst nächste Woche schließen
Beitrag von: SiLæncer am 23 Januar, 2015, 13:41
Im Flash Player klafft eine kritische Lücke, über die Angreifer das System komplett übernehmen können. Diese wird bereits aktiv ausgenutzt. Adobe will sich trotzdem bis nächste Woche mit dem Patch Zeit lassen.

Wie Adobe in einer Sicherheitsmeldung verlauten lässt, will man die nach wie vor offene, kritische Flash-Lücke irgendwann in der kommenden Woche abdichten. Die Sicherheitslücke (CVE-2015-0311) wird momentan aktiv für Angriffe verwendet und heise Security hat von mehreren Lesern Hinweise erhalten, dessen Rechner den Attacken bereits zum Opfer gefallen sind. Ein genaues Datum für die Auslieferung des Updates nannte die Firma nicht, diese soll "in der Woche beginnend am 26. Januar" erfolgen.

Der ganze Artikel (http://www.heise.de/security/meldung/Adobe-will-Flash-Luecke-erst-naechste-Woche-schliessen-2527107.html)

Quelle : www.heise.de
Titel: Kritische Lücke im Flash-Player: Adobe beginnt Update-Auslieferung
Beitrag von: SiLæncer am 25 Januar, 2015, 19:06
Adobe hat sich Zeit damit gelassen, eine schwerwiegende Lücke im Flash-Player zu stopfen: Nun werden seit Samstag endlich über den Auto-Updater sichere Versionen verteilt.

Adobe beginnt mit der Auslieferung von Updates für den Flash-Player, die eine seit Anfang der letzten Woche bekannte Sicherheitslücke (CVE-2015-0311) stopfen sollen. Die Version 16.0.0.296 werde laut Mitteilung seit dem 24. Januar an Nutzer der Flash-Laufzeitumgebung verteilt – sofern die Auto-Update-Funktion aktiviert ist. Eine Update-Fassung für den manuellen Download solle in der am 26. Januar beginnenden Woche folgen. Aktuell verwundbar sind unter Windows und Mac OS X die Versionen bis 16.0.0.287; unter Linux 11.2.202.438 und frühere.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Kritische-Luecke-im-Flash-Player-Adobe-beginnt-Update-Auslieferung-2527977.html)

Quelle : www.heise.de
Titel: Flash-Player deaktivieren! Schon wieder Angriffe auf ungepatchte Lücke
Beitrag von: SiLæncer am 02 Februar, 2015, 16:34
Und täglich grüßt die Flash-Lücke: Nur eine Woche war Ruhe, jetzt ist die nächste kritische Schwachstelle aufgetaucht. Da diese bereits ausgenutzt wird, sollte Flash wieder ein mal abgeschaltet werden.

Erneut nutzen Online-Ganoven eine zuvor unbekannte Sicherheitslücke im Flash Player aus. Die Lücke klafft in allen Flash-Versionen, einschließlich der erst vor einer Woche veröffentlichten Version 16.0.0.296. Laut der Antivirenfirma Trend Micro hat passender Angriffscode bereits Einzug in ein Exploit-Kit (vermutlich Angler) gehalten.

Der ganze Artikel (http://www.heise.de/security/meldung/Flash-Player-deaktivieren-Schon-wieder-Angriffe-auf-ungepatchte-Luecke-2535100.html)

Quelle : www.heise.de
Titel: So schützen Sie sich vor der Flash-Lücke
Beitrag von: SiLæncer am 04 Februar, 2015, 20:07
Während Adobe weiterhin keine konkreten Schutzmaßnahmen kennt oder nennt, rät das BSI ganz klar zur Deinstallation des Flash Player. Wer nicht handelt und Flash weiterhin aktiv lässt, geht ein großes Risiko ein.

Wer mit aktivem Flash-Plugin surft, ist in akuter Gefahr: Gegen die hochkritische Flash-Lücke ist nach wie vor kein Kraut gewachsen. Sie wird bereits seit geraumer Zeit von Online-Kriminellen zur Verbreitung von Schadcode missbraucht – und dieser kann prinzipiell überall lauern. Schützen kann man sich nur, indem man Flash deinstalliert oder die Ausführung des Plugins im Browser einschränkt. Das rät auch das Bürger-CERT des Bundesamts für Sicherheit in der Informationstechnik in seiner Alarmmeldung. Es hat der Lücke die höchstmögliche Risikostufe zugewiesen.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/So-schuetzen-Sie-sich-vor-der-Flash-Luecke-2539858.html)

Quelle : www.heise.de
Titel: Adobe verteilt wichtiges Sicherheits-Updates für Flash – zumindest etwas
Beitrag von: SiLæncer am 05 Februar, 2015, 13:02
Adobe hat mit der Auslieferung des Updates begonnen, das die kritische Schwachstelle im Flash Player stopfen soll. Die Version 16.0.0.305 wird derzeit nur über den Auto-Updater verteilt – der manuelle Download soll im Laufe des Donnerstags möglich werden.

Adobe verteilt seit kurzem die Flash-Version 16.0.0.305, das die seit Montag bekannte Zero-Day-Lücke schließen soll. Da die Lücke bereits aktiv ausgenutzt wird, sollten Flash-Nutzer nicht zögern, das Update zu installieren. Aktuell wird es allerdings nur über den Update-Manager des Flash Players verteilt, der manuelle Download soll noch im Laufe des Donnerstags zur Verfügung stehen. Auch die Aktualisierung für die integrierten Flash-Versionen in Chrome und dem Internet Explorer 10 und 11 lassen noch auf sich warten.

Betroffen sind Adobe zufolge die Versionen 16.0.0.296 und älter für Windows und Mac OS X sowie die Version 13.0.0.264 und älter. Steht die Aktualisierung noch nicht bereit, sollte das Plug-in vorsichtshalber deaktiviert werden.

Neue Details

Inzwischen sind weitere Details zu der Natur der Lücke bekannt. Laut einer Analyse von Trend Micro handelt es sich um eine Use-after-Free-Lücke, die beim Zusammenspiel von Hauptprozess und Workern in einer Multithread-Anwendung entsteht. Durch die Schwachstelle kann ein Angreifer beliebigen Code zur Ausführung bringen. Auch zu den beobachteten Angriffen gibt es neue Details: Demnach wird die Schwachstelle bereits seit Anfang Dezember von Cyber-Kriminellen missbraucht.

Der Angriffscode wird von einem Exploit-Kit namens HanJuan ausgeliefert. Er wird über ein Anzeigennetzerwerk verteilt und hat es so sogar auf prominente Webseiten wie das Videoportal DailyMotion geschafft. Da er dem Exploit zur Lücke CVE-2015-0311 stark ähnelt, geht Trend Micro davon aus, dass er von der gleichen Person entwickelt wurde. Die Sicherheitsfirma hat dem Exploit auf Google Chrome losgelassen und berichtet, dass er zwar die Flash-Lücke ausnutzen, nicht aber aus der Sandbox ausbrechen kann.

Adobe liefert mit dieser Aktualisierung bereits den vierten Patch für den Flash Player in diesem Jahr aus. Das letzte Update liegt erst eineinhalb Wochen zurück.

Update vom 5. Februar, 12 Uhr: Inzwischen steht Version 16.0.0.305 auch über die reguläre Download-Seite zur Installation bereit.

Quelle : www.heise.de
Titel: Flash-Update schließt insgesamt 18 Lücken, jetzt für alle Plattformen
Beitrag von: SiLæncer am 05 Februar, 2015, 19:40
Nach anfänglichen Startschwierigkeiten kommt nun fast jeder, der möchte, in den Genuss der abgesicherten Flash-Versionen. Adobe gab bekannt, dass sie gleich eine ganze Reihe von Sicherheitslöchern stopfen.

Der Umfang des neuesten Sicherheitsupdates für Flash ist deutlich größer als erwartet: Neben der bereits ausgenutzten Lücke schließt die Flash-Version 16.0.0.305 insgesamt 17 weitere Schwachstellen. Darunter befinden sich Speicherfehler, Buffer Overflows und Use-after-Free-Lücken, die sich allesamt zum Einschleusen von Schadcode eignen.

Die gute Nachricht ist, dass diese laut Adobe bislang nicht für Online-Angriffe missbraucht werden. Die meisten wurden vertraulich von Sicherheitsforschern gemeldet, etwa aus Googles Expertenteam Project Zero. Wie jedes Sicherheitsupdate liefert allerdings auch dieses Angreifern wertvolle Informationen über die geschlossenen Lücken. Für Nutzer älterer Flash-Versionen spitzt sich die Lage also weiter zu.

Der ganze Artikel (http://www.heise.de/security/meldung/Flash-Update-schliesst-insgesamt-18-Luecken-jetzt-fuer-alle-Plattformen-2542408.html)

Quelle : www.heise.de
Titel: Patchday bei Adobe dieses Mal ohne Flash
Beitrag von: SiLæncer am 08 Mai, 2015, 17:48
Adobe will am Patchday nächste Woche Updates für kritische Lücken im Reader und Acrobat bereitstellen.

Am kommenden Dienstag will Adobe Patches für den Reader und Acrobat für Windows- und OS-X-Systeme veröffentlichen. Die Schwachstellen stuft Adobe als kritisch ein, Exploits sollen derzeit aber nicht kursieren.

Folgende Versionen sind betroffen:

Adobe Reader, Acrobat XI (11.0.10) und frühere Versionen
Adobe Reader, Acrobat X (10.1.13) und frühere Versionen

Microsoft-Kunden müssen sich hingegen überraschen lassen, denn der Konzern benachrichtigt seit Januar dieses Jahres nur noch zahlende Premium-Kunden über anstehende Updates.

Quelle : www.heise.de
Titel: Lücke im Flash Player: Exploit Kit erhöht Angriffs-Risiko
Beitrag von: SiLæncer am 29 Juni, 2015, 13:05
Bisher haben Angreifer die in der letzten Woche bekanntgewordene Schwachstelle in Adobes Flash Player nur vereinzelt und gezielt attackiert. Aktuell nutzt jedoch auch das Magnitude Exploit Kit die Lücke aus und vergrößert den Angriffsradius.

Angreifer haben das Magnitude Exploit Kit aufgestockt und nutzen eine kritische Sicherheitslücke (CVE-2015-3113) im Flash Player aus. Das hat der Sicherheitsforscher Kafeine entdeckt. Aufgrund der Plug-&-Play-Bedienung eines Exploit Kits können selbst Anfänger Angriffe ausführen, was Übergriffe wahrscheinlicher macht. Zuvor wurde die Schwachstelle laut FireEye nur vereinzelt und gezielt attackiert. Das Einspielen des in der vorigen Woche veröffentlichten Notfall-Updates wird so noch dringlicher.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Luecke-im-Flash-Player-Exploit-Kit-erhoeht-Angriffs-Risiko-2730795.html)

Quelle : www.heise.de
Titel: Notfall-Update: Adobe stopft kritische Lücke in Flash Player
Beitrag von: SiLæncer am 08 Juli, 2015, 13:05
Die Spionage-Tools von Hacking Team nutzten seit Jahren eine Schwachstelle in Flash aus. Das Notfall-Update steht noch nicht global zur Verfügung.

Adobe sieht sich durch den Einbruch in das Computersystem der Hersteller von Überwachungs-Software Hacking Team gezwungen^, ein Notfall-Update für den Flash Player zu veröffentlichen. Denn die erbeuteten Dokumente haben unter anderem zutage gefördert, dass die Spionage-Tools der Firma eine bislang unentdeckte Flash-Lücke (CVE-2015-5119) ausnutzen.

Hacking Team prahlt in den geleakten Dokumenten und bezeichnet die Schwachstelle als "The most beautiful Flash bug for the last four years". Adobe zufolge nutzen Angreifer die Schwachstelle derzeit aktiv aus. Die Aktualisierung mit der Kennung 18.0.0.203 soll noch am heutigen Tag zum Download bereitstehen.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Notfall-Update-Adobe-stopft-kritische-Luecke-in-Flash-Player-2743331.html)

Quelle : www.heise.de
Titel: Weg mit Flash!
Beitrag von: SiLæncer am 17 Juli, 2015, 14:47
Bei Adobes Plug-in stimmt die Balance aus Nutzen und Risiko nicht mehr. Es wird Zeit, dieses Relikt abzuschalten, meint Herbert Braun

Schleunigst updaten solle man Flash, so liest man zur Zeit überall, denn ständig tauchen neue Flash-Sicherheitslücken auf. Ich glaube vielmehr, es ist Zeit, Schluss zu machen mit Flash. Und dazu kann jeder einen Beitrag leisten.

Durch die Hacking-Team-Leaks folgen die Notfall-Updates so schnell aufeinander, dass man allmählich den Überblick verliert. Das wird sich wieder normalisieren, aber Flash bleibt ein riskantes Stück Software: 149 kritische Sicherheitslücken zählte das Bundesamt für Sicherheit in der Informationstechnik allein in den vergangenen zwölf Monaten.

Risiko vs. Nutzen

Neu ist, dass Nutzen und Risiko für eine wachsende Zahl von Webnutzern in keinem Verhältnis mehr stehen. Die Zahl relevanter Flash-Inhalte schrumpft. Neue Browser-Spiele werden immer öfter mit freien Webtechniken geschrieben. Große Videoportale wie YouTube, Vimeo oder Dailymotion kommen mittlerweile ohne Flash aus.. HTML5 hat technisch aufgeholt und erobert sich dessen letzte Domänen – zu denen auch unpopuläre wie DRM zählen.

Kein Wunder, dass das Web die Geduld mit Flash verliert. So stellte Mozilla am Montag kurzerhand Flash über die zentrale Blockliste auf "Click to Play", ohne Adobes Update abzuwarten; ähnlich ging Apple bei Mac OS vor.

Flash erinnert an den Internet Explorer 6: ein mächtiges Gespenst aus der Vergangenheit, das wir nicht mehr brauchen. Während allerdings Microsoft hart gekämpft hat, um dieses Gespenst des IE6 zu verscheuchen, mag sich Adobe von seiner einstigen Erfolgstechnologie noch nicht verabschieden – obwohl das Unternehmen natürlich längst weiß, dass Flash eine Leiche auf Urlaub ist, und deshalb seine Investitionen auf diesem Gebiet zurückgefahren hat.

Todeswunsch

"Es wird Zeit, dass Adobe das End-of-Life-Datum für Flash ankündigt", war kürzlich in einem populären Tweet zu lesen. Aufsehen erregte diese Äußerung vor allem wegen ihres Autors: Alex Stamos ist bei Facebook der oberste Verantwortliche für Sicherheit.

Ein "Geh sterben!" von so prominenter Quelle musste sich die Flash-Plattform zuletzt vor fünf Jahren von Steve Jobs anhören. Doch während das Herausdrängen von Flash aus dem Fundus der Webtechniken damals ein Zukunftsprojekt war, scheint es jetzt allmählich soweit zu sein. Inzwischen steht das gesamte Konzept der Browser-Plug-ins in der Schmuddelecke. Die Plug-in-Schnittstellen NPAPI und ActiveX liegen in den letzten Zügen, PPAPI läuft nur in Chromium und wird nur eine Zwischenlösung sein.

Als Steve Jobs bei der Präsentation des ersten iPad Seiten ansurfte, die statt der eingebundenen Flash-Inhalte nur Legostein-Symbole als Platzhalter zeigten, wirkte das wie eine Provokation. Mittlerweile sind fünf Jahre vergangen, und wir surfen immer noch (und immer mehr) ohne Flash auf Smartphone und Tablet herum. Haben Sie schon einmal gehört, dass es jemand vermisst hätte? Oh, es gibt eine Flash-Player-Version für Mobilgeräte namens Flash Lite, aber deren letzte Version stammt aus der Zeit des iPad 1.

Wer heute neue Webanwendungen mit Flash baut, schließt einen großen Teil der potenziellen Besucher aus. Es ist mir schleierhaft, warum manche immer noch auf dieses tote Pferd setzen. Hört auf damit!

Flash abschalten

Seit ein paar Wochen habe ich Flash von meinem Rechner verbannt. Tatsächlich tauchen hin und wieder Hinweise im Browser auf, ich möge doch für dieses gesponserte Video oder jenes lustige Filmchen Flash installieren. Inhalte, die mich interessiert haben, waren bisher keine darunter.

Es ist übrigens gar nicht so einfach, Flash wirklich loszuwerden. Eine Suche nach Dateinamen, die "flash" enthalten, kann für Überraschung sorgen. Auf meinem Laptop war die ActiveX-Version für den Internet Explorer vorinstalliert und lässt sich nicht ohne Gewaltmaßnahmen beseitigen. Chrome bringt sein Flash-Plug-in gleich selber mit, sieht aber leider keine Möglichkeit vor, dieses auch zu entfernen. Auch andere Software wie der Bildbetrachter IrfanView oder der Screenreader NVDA enthalten Flash.

Wer seinen Rechner entflashen möchte, sollte es zuerst mit dem vom jeweiligen System vorgesehenen Weg zur Software-Deinstallation versuchen. Adobe bietet zusätzlich ein Deinstallationsprogramm an. Klappt das nicht, bleibt nur das Deaktivieren im Browser. Bei Chrome und Co. geht das über die URL chrome://plugins, bei Firefox mit about://addons oder einfacher unter Extras und dann Add-ons; im Internet Explorer klicken Sie im Zahnradmenü auf "Add-Ons verwalten". Und wenn demnächst wieder eine Flash-Katastrophenwarnung Schlagzeilen macht, können Sie sich entspannt zurücklehnen.

[Update 17.97.2015 – 12:50 Uhr] Ursprünglich stand in dem Kommentar, Vimeo und Dailymotion würden noch Flash verlangen. Das ist nicht der Fall und wurde korrigiert.

Quelle : www.heise.de

 :jo
Titel: Adobe und das Sieb: 35 Flash-Lücken gestopft
Beitrag von: SiLæncer am 12 August, 2015, 13:02
Am heutigen Patchday liefert Adobe neue Flash-Versionen aus, die insgesamt 35 Sicherheitslücken stopfen sollen - die meisten davon kritisch.

Es nimmt kein Ende: Erneut stellt Adobe Flash-Updates für alle Versionen bereit. Erneut stopfen sie so viele Lücken, dass man sie gar nicht mehr einzeln aufzählen mag. Ganze 35 Lücken mit eigenem Common Vulnerability Identifier (CVE) listet Adobe in seinem Security Bulletin APSB15-19 auf.

34 der Lücken sind als hoch kritisch eingestuft, sprich: Angreifer, die sie ausnutzen, können damit ein System übers Netz mit Schad-Software infizieren. Betroffen sind vor allem die Versionen für Windows und Mac vor 18.0.0.232 und dabei auch die bei Internet Explorer und Chrome verwendeten Flash-Erweiterungen, die Microsoft beziehungsweise Google direkt stopfen. Aber auch Flash für Linux und Adobe AIR sind anfällig.

Exploits für Sicherheitslücken in Flash werden in der Regel sehr schnell in Exploit-Kits eingebaut und dann von kriminellen Banden genutzt, um in möglichst großer Zahl PCs mit Ransomware, Online-Banking-Trojanern oder anderer Crimeware zu infizieren. Das Titelthema Die Waffen der Hacker der aktuellen c't beleuchtet diese Szene und ihre kriminellen Geschäfte. Anwender sollten die Updates möglichst schnell einspielen, um sich davor zu schützen – oder sie sagen einfach wie unser Kommentator Herbert Braun: Weg mit Flash!

Quelle : www.heise.de
Titel: Patchday: Adobe schließt kritische Lücken in Flash und Reader
Beitrag von: SiLæncer am 13 Oktober, 2015, 18:40
Sicherheitslücken in beiden Produkten erlauben es Angreifern, den Rechner des Opfers aus der Ferne zu kapern. Bei Flash werden insgesamt 13 Lücken durch die Updates geschlossen, bei Acrobat und Reader sind es 56 Lücken.

Adobe hat im Rahmen seines monatlichen Patchdays heute Sicherheitsupdates für Adobe Flash sowie die Produkte Reader und Acrobat veröffentlicht. Bei Flash werden 13 verschiedene Sicherheitslücken gestopft, bei Reader und Acrobat ganze 56 Lücken. In allen drei Programmen schließen die Updates kritische Lücken, die es Angreifern erlauben, den Rechner des Opfers aus der Ferne zu kapern.

Nutzer von Adobe Flash auf Windows und Mac OS X sollten auf die Versionen 19.0.0.207 oder 18.0.0.252 aktualisieren. Linux-Nutzer sollten Version 11.2.202.535 installieren, um auf der sicheren Seite zu sein. Nutzer von Adobe AIR und dem AIR SDK sollten auf Version 19.0.0.213 der Software umsteigen. Google Chrome auf Windows, Mac OS X und Linux aktualisiert sich selbst auf Version 19.0.0.207; ebenso Internet Explorer 10 und 11 für Windows 8 und 8.1 sowie IE 11 und der Edge-Browser auf Windows 10 – hier sind keine manuellen Eingriffe des Nutzers nötig.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Patchday-Adobe-schliesst-kritische-Luecken-in-Flash-und-Reader-2845079.html)

Quelle : www.heise.de
Titel: Nach Patchday: Flash über neue Sicherheitslücke immer noch angreifbar
Beitrag von: SiLæncer am 14 Oktober, 2015, 17:17
Eine Sicherheitsfirma berichtet von gezielten Angriffen, die momentan stattfinden und eine Zero-Day-Lücke in der aktuellen Flash-Version für Windows missbrauchen.

Adobe hat gerade erst Sicherheitsupdates für Flash veröffentlicht. Trotzdem scheint die aktuellste Version des Flash-Players nach wie vor angreifbar zu sein. Wie die Sicherheitsfirma Trend Micro berichtet, missbrauchen Angreifer momentan eine Zero-Day-Lücke, für die auch die aktuelle Flash-Version auf Windows (19.0.0.207) anfällig ist. Laut Trend Micro wird die Lücke von Mitgliedern der Gruppe Pawn Storm missbraucht, die seit Jahren aktiv ist und vor allem politische Ziele in Regierungs- und Militärkreisen attackiert.

Die Angreifer setzen unter anderem falsche Outlook-Web-Access-Server auf, um Login-Daten im großen Stil abzugreifen. Über den Flash-Zero-Day kapern sie zusätzlich Client-Rechner im internen Netz der Organisationen. Neben Version 19.0.0.207 soll auch die ältere Flash-Variante 19.0.0.185 angreifbar sein. Ob neben den Pawn-Storm-Hackern momentan auch andere Angreifer über die Lücke im großen Stil Rechner im Netz angreifen, ist momentan nicht bekannt. Trend Micro hat Adobe nach eigenen Angaben bereits über die Lücke informiert.

Quelle : www.heise.de
Titel: Kritische Flash-Lücke: Adobe stellt Patch in Aussicht
Beitrag von: SiLæncer am 15 Oktober, 2015, 13:10
Einer Sicherheitsfirma zufolge greift die Gruppe Pawn Storm derzeit gezielt aktuelle Flash-Versionen über eine Zero-Day-Lücke an. Adobe hat nun einen Patch angekündigt.

Die aktuellen Flash-Versionen bis 11.2.202.535, 18.0.0.252 und 19.0.0.207 unter Linux, OS X und Windows sind über eine als kritisch eingestufte Lücke (CVE-2015-7645) verwundbar, warnt Adobe. Den entsprechenden Patch will der Konzern im Laufe der kommenden Woche veröffentlichen.

Aktuell sollen Angreifer der Gruppe Pawn Storm vor allem politische Ziele in Regierungs- und Militärkreisen attackieren. Dabei nutzen die Angreifer die Schwachstelle im Flash Player als Einfallstor, um die Kontrolle über Computersysteme zu erlangen. Die Zero-Day-Lücke und die Angriffe haben Sicherheitsforscher von Trend Micro entdeckt.

Quelle : www.heise.de
Titel: Patch außer der Reihe: Adobe schließt kritische Flash-Lücke
Beitrag von: SiLæncer am 16 Oktober, 2015, 16:11
Die kurz nach dem Patchday aufgetauchte Flash-Lücke ist gestopft. Adobe verteilt nun neue Flash-Versionen.

Adobe hat mit der Verteilung eines Patches für die kritische Sicherheitslücke in Flash begonnen, die kurz nach dem letzten Patchday bekannt geworden war und bereits von Angreifern ausgenutzt wird. Nutzer von Windows and Mac OS X erhalten nun die Flash-Version 19.0.0.226 über Adobes Download-Seite. Linux-Nutzer bekommen Flash 11.2.202.540 angeboten.

Noch hat Adobe seine Sicherheitsmeldung zu der Flash-Lücke nicht aktualisiert und auch manche Beschreibungen auf verschiedenen Adobe Webseiten listen noch die älteren angreifbaren Flash-Versionen als neueste Version. Wer momentan auf Nummer Sicher gehen will, sollte auf dieser Seite (https://www.adobe.com/de/products/flashplayer/distribution3.html) die neueste Version für sein Betriebssystem herunterladen.

Quelle : www.heise.de
Titel: Patch außer der Reihe: Adobe schließt kritische Lücke in Shockwave
Beitrag von: SiLæncer am 27 Oktober, 2015, 16:46
Angreifer können den Shockwave Player verwenden, um aus der Ferne Schadcode auf Rechner zu schleusen. Adobe bewertet die Lücke mit der höchsten Prioritätsstufe.

Mit einem außerplanmäßigen Sicherheitsupdate schließt Adobe eine Speicherverarbeitungslücke im Shockwave Player (CVE-2015-7649). Laut den Entwicklern wird die Sicherheitslücke momentan nicht für Angriffe genutzt, allerdings bewerten sie deren Bedrohungspotential mit der höchsten von den drei von Adobe vergebenen Prioritätsstufen. Angreifer können die Schwachstelle missbrauchen, um Schadcode aus der Ferne auszuführen.

Betroffen sind alle Versionen von Schockwave bis einschließlich Shockwave 12.2.0.162 auf Windows und Mac OS X. Nutzer sollten ihren Shockwave Player auf Version 12.2.1.171 aktualisieren. Diese kann auf der Shockwave-Downloadseite (http://get.adobe.com/de/shockwave/otherversions/) von Adobe heruntergeladen werden.

Quelle : www.heise.de
Titel: Patchday: Adobe pflegt den Flash-Patienten
Beitrag von: SiLæncer am 11 November, 2015, 13:14
Flash liegt mal wieder auf dem OP-Tisch und wird geflickt. Nutzer sollten ihren Flash-Patienten zügig behandeln, denn die Lücken gelten als kritisch. Exploits sollen aber noch nicht kursieren.

17 kritische Schwachstellen klaffen im Flash-Player bis Version 19.0.0.226 unter OS X und Windows. Unter Linux sind die Versionen bis 11.2.202.540 verwundbar. Adobe stuft die Lücken mit der höchsten Priorität ein. Aktuell soll es aber noch keine Angriffe geben. Findet ein Übergriff statt, könnte ein Angreifer im schlimmsten Fall den gesamten Computer kapern.

OS X- und Windows-Nutzer sollten zügig die abgesicherte Version 19.0.0.245 und Linux-Nutzer die Version 11.2.202.548 einspielen. Auf der About-Flash-Player-Webseite kann man überprüfen, welche Version man installiert hat.

Das Update findet man zum einer auf einer Adobe-Webseite, die den Nutzer automatisch mit der für das Betriebssystem und Webbrowser passenden Version versorgt. Alternativ kann man die aktuelle Version auch einzeln zur Weiterverteilung herunterladen. Nutzer der Webbrowser Chrome, Edge und Internet Explorer 10 und 11 ab Windows 8 bekommen das Flash-Update automatisch zugespielt.

AIR-SDK-Update nach eigenem Ermessen

Auch das AIR SDK für Android, iOS, OS X und Windows erfährt eine Aktualisierung. Adobe sieht dabei aber kein großes Gefahrenpotential und empfiehlt Admins das Update nach eigenem Ermessen einzuspielen. Auf einer Adobe-Hilfe-Webseite findet sich eine Anleitung, um die installierte AIR-SDK-Version herauszufinden.

Quelle und Links : http://www.heise.de/newsticker/meldung/Patchday-Adobe-pflegt-den-Flash-Patienten-2916509.html
Titel: Patches außer der Reihe: Adobe dichtet ColdFusion ab
Beitrag von: SiLæncer am 18 November, 2015, 13:20
Adobe stopft vier Sicherheitslücken in ColdFusion, LiveCycle Data Services und Premiere Clip. Exploits sollen noch nicht im Umlauf sein.

Adobes ColdFusion 10 bis zum Update 17 und ColdFuison 11 bis zum Update 6 sind für alle verfügbaren Plattformen verwundbar. Angreifer können zwei Lücken (CVE-2015-8052 und CVE-2015-8053) für XSS-Attacken missbrauchen. Das Update 7 und 18 stehen zum Download bereit.

Adobe empfiehlt Nutzern, die Sicherheitsupdates einzuspielen. Eine akute Bedrohung gebe es aber derzeit nicht. Eine weitere Schwachstelle (CVE-2015-5255) klafft in BlazeDS, die die Updates auch schließen. Zudem rät Adobe, die Sicherheitshinweise für ColdFusion zu befolgen.

LiveCycle Data Services und Premiere Clip auch bedroht

Adobes LiveCycle Data Services sind in den Versionen 3.0.x, 3.1.x, 4.6.2 und 4.7 unter OS X, Unix und Windows bedroht. Das Sicherheitsupdate kümmert sich hier ebenfalls um BlazeDS.

In Apples App Store steht zudem die abgesicherte Version 1.2.1 von Adobe Premiere Clip zum Download bereit. Der Patch fixt einen Fehler bei der Validierung von Benutzereingaben.

Quelle und Links : http://www.heise.de/newsticker/meldung/Patches-ausser-der-Reihe-Adobe-dichtet-ColdFusion-ab-2923825.html
Titel: Patchday: Adobe flickt mindestens 77 Lücken im Flash Player und AIR SDK
Beitrag von: SiLæncer am 09 Dezember, 2015, 12:11
Angreifer können den Flash Player bis Version 19.0.0.245 unter OS X und Windows und unter Linux bis Version 11.2.202.548 attackieren. Mit der Version 20.0.0.228 für OS X und Windows und 18.0.0.268 für Linux dichtet Adobe eigenen Angaben zufolge verschiedene Sicherheitslücken ab, die 77 CVE-Nummern zugeordnet sind. Darin sind auch Updates enthalten, die das AIR SDK sicherer machen sollen.

Die Zahl der CVE-Nummern kann man nicht immer ein zu eins auf die Anzahl von Sicherheitslücken übertragen, denn mitunter kommt es vor, dass eine CVE-Nummer mehrere Schwachstellen bezeichnet.

Adobe stuft alle Sicherheitsupdates als kritisch ein und Nutzer sollten die neue Version so schnell wie möglich installieren. Auf der About-Flash-Player-Webseite kann man die aktuell installierte Version einsehen. Linux-, OS-X- und Windows-Nutzer können sich auf einer Adobe-Webseite automatisch die passende Version herunterladen.

Der ganze Artikel (http://www.heise.de/security/meldung/Patchday-Adobe-flickt-mindestens-77-Luecken-im-Flash-Player-und-AIR-SDK-3037638.html)

Quelle : www.heise.de
Titel: Flash-Update schließt kritische Sicherheitslücken
Beitrag von: SiLæncer am 29 Dezember, 2015, 12:04
Zu einem ungewöhnlichen Zeitpunkt hat Adobe ein Update für Flash veröffentlicht. Mindestens eine der gestopften Sicherheitslücken wird bereits für Angriffe genutzt.

Adobe hat ein wichtiges Flash-Update veröffentlicht (https://helpx.adobe.com/security/products/flash-player/apsb16-01.html). Es schließt insgesamt 19 Lücken mit eigenem Common Vulnerability Eunumerator (CVE). Einige der Lücken sind kritischer Natur – das heißt, sie sind geeignet, einen PC etwa allein beim Besuch einer Webseite mit Schad-Software zu infizieren.

Tatsächlich wird mindestens eine dieser Lücken genau dazu bereits genutzt. Laut Adobe gibt es bereits Angriffe, die CVE-2015-8651 verwenden, um Opfer ganz gezielt anzugreifen. Das dürfte auch der Grund für den außergewöhnlichen Termin für das Update sein.

Vielleicht wäre das eine gute Gelegenheit, Flash mal zu deinstallieren und zu sehen, ob man nicht auch ohne auskommt. Immer mehr Websites verzichten auf Flash und setzen dafür etwa HTML5 ein.

Quelle : www.heise.de
Titel: Patchday: Adobe beginnt das neue Jahr gemäßigt
Beitrag von: SiLæncer am 13 Januar, 2016, 13:44
Für Nutzer von Anwendungen der Acrobat-Familie stehen Sicherheitsupdates bereit. Adobe stuft die Schwachstellen als kritisch ein.

Am ersten Patchday in diesem Jahr kümmert sich Adobe um verschiedene Acrobat-Anwendungen und stopft 17 Schwachstellen. Betroffen sind Acrobat DC, Acrobat Reader DC bis Version 15.009.20077 (Continuous), Acrobat DC, Acrobat Reader DC bis Version 15.006.30097 (Classic) und Acrobat XI und Reader XI bis Version 11.0.13 (Desktop).

Die Sicherheitsupdates stehen für OS-X- und Windows-Nutzer bereit. Die Installation soll automatisch erfolgen. Nutzer können die abgesicherten Versionen aber auch herunterladen und selbst installieren. Unternehmen finden die Anwendungen auf einem FTP-Server von Adobe.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Patchday-Adobe-beginnt-das-neue-Jahr-gemaessigt-3069607.html)

Quelle : www.heise.de
Titel: Patchday: Adobe sichert Flash und Photoshop ab
Beitrag von: SiLæncer am 10 Februar, 2016, 13:43
Neben den üblichen kritischen Lücken in Flash schließt die Firma diesmal auch eine kritische Lücke in Photoshop und Adobe Bridge. Auch Adobe Experience Manager und Connect erhalten Updates.

Adobes monatlicher Patchday fällt diesmal ungewohnt üppig aus: Neben den erwartbaren kritischen Lücken in Flash wird diesmal auch eine kritische Schwachstelle im Flaggschiff-Produkt Photoshop abgedichtet. Außerdem hat die Firma Updates für Adobe Connect und den Adobe Experience Manager veröffentlicht, die als "wichtig" eingestuft werden. Die Flash-Updates gibt es wie immer auf der eigens dafür eingerichteten Download-Seite von Adobe, die Photoshop-Updates können über Links in der entsprechenden Sicherheitsmeldung heruntergeladen werden.

Bei Flash repariert Adobe eine Reihe von Programmierfehlern, unter anderem bei der Speicherverwaltung. Diese können von Angreifern missbraucht werden, um Schadcode aus der Ferne auszuführen, weswegen sie als "kritisch" bewertet werden. Windows- und Mac-Nutzer sollten sicherstellen, dass sie Flash 20.0.0.306 nutzen, um nicht Opfer solcher Angriffe zu werden. Die Extended-Support-Ausgabe 18.0.0.329 ist ebenfalls abgedichtet. Linux-Anwender brauchen Flash 11.2.202.569. Nutzer von Google Chrome, Microsoft Edge und Internet Explorer auf Windows 10 und 8.x brauchen sich um nichts kümmern, sie bekommen die Updates automatisch eingespielt.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Patchday-Adobe-sichert-Flash-und-Photoshop-ab-3098502.html)

Quelle : www.heise.de
Titel: Adobe-Patchday lässt kritische Flash-Lücke ungepatcht
Beitrag von: SiLæncer am 15 Juni, 2016, 13:21
Adobe schließt Lücken in ColdFusion, der Creative Cloud, dem DNG Development Kit und seinem Texteditor Brackets. Nur eine kritische Flash-Lücke bleibt erst mal ungepatcht.

Adobe hat zum monatlichen Patchday Lücken in ColdFusion, der Adobe Creative Cloud, seinem quelloffenen Texteditor Brackets und im Digital Negative (DNG) Development Kit geschlossen. Nur Patches für den Flash Player such man vergebens, und dabei klafft eine kritische Lücke in der Software (CVE-2016-4171), die laut Kaspersky bereits für gezielte Angriffe missbraucht wird. Adobe will diese Lücke nach eigenen Angaben "frühestens am 16. Juni" stopfen. Das ist nun schon das zweite Mal, dass Adobe kritische Flash-Patches um ein paar Tage verschleppt.

Der ganze Artikel (http://www.heise.de/newsticker/meldung/Adobe-Patchday-laesst-kritische-Flash-Luecke-ungepatcht-3238271.html)

Quelle : www.heise.de
Titel: Jetzt patchen: Kritisches Flash-Update stopft Zero-Day-Lücke
Beitrag von: SiLæncer am 17 Juni, 2016, 11:04
Adobe hat den am Patchday angekündigten Flash-Patch veröffentlicht. Er stopft mehrere Lücken in der Software. Eine wird bereits für Angriffe auf Nutzer missbraucht.

Adobe hat einen kritischen Flash-Patch veröffentlicht. Das Sicherheits-Update schließt 36 verschiedene Lücken im Flash Player, die dazu missbraucht werden können, Schadcode auf den Rechnern der Opfer auszuführen. Darunter ist auch die von Kaspersky entdeckte Lücke (CVE-2016-4171), die bereits aktiv ausgenutzt wird, um Anwender beim Besuch manipulierter Webseiten anzugreifen (was sie zu einer Zero-Day-Lücke macht). Betroffen ist Flash auf Windows, OS X und Linux – wobei das Update für Linux von Adobe nur mit Priorität 3 eingeschätzt wird und so weit weniger kritischer ist als die Updates für Windows- und Mac-Rechner.

Der ganze Artikel (http://www.heise.de/security/meldung/Jetzt-patchen-Kritisches-Flash-Update-stopft-Zero-Day-Luecke-3240335.html)

Quelle : www.heise.de
Titel: Notfall-Patch für Adobe Flash
Beitrag von: SiLæncer am 26 Oktober, 2016, 17:55
Adobe musste überraschend eine kritische Lücke in Flash stopfen, die bereits für gezielte Angriffe auf Windows-Nutzer ausgenutzt wird. Das vorige Sicherheits-Update liegt gerade mal zwei Wochen zurück.

Adobe hat überraschend ein Sicherheits-Update für seinen Flash-Player herausgegeben, das eine kritische Schwachstelle beseitigt, durch die ein Angreifer die Kontrolle über das System erlangen kann. Es handelt sich um einen Speicherfehler (Use-after-free), der nach Angaben von Adobe auch schon für gezielte Angriffe gegen Nutzer von Windows 7 bis 10 ausgenutzt wird. Grundsätzlich sind aber offenbar auch Linux, macOS und Chrome OS durch die Lücke angreifbar.

Der abgesicherte Flash-Player trägt die Versionsnummer 23.0.0.205, Linux-Nutzer sind mit Version 11.2.202.643 auf der sicheren Seite. Verwundbar sind alle älteren Versionen – wer Flash auf seinem System hat, muss also handeln. Unter Windows 8.1 und 10 kümmert sich Windows Update automatisch um die Aktualisierung, Google versorgt das in Chrome integrierte Flash-Plugin über die automatischen Browser-Aktualisierung mit Updates. Welche Version aktuell im Einsatz ist, verrät eine Testseite bei Adobe. Zuvor hatte Adobe am 12. Oktober ein umfangreiches Sicherheits-Update für Flash veröffentlicht.

Quelle : www.heise.de
Titel: Patchday: Adobe sichert Flash gegen aktive Angriffe ab
Beitrag von: SiLæncer am 14 Dezember, 2016, 13:17
In diesem Monat stellt Adobe Sicherheitsupdates für neun Anwendungen von Animate bis RoboHelp bereit. Vor allem Flash-Nutzer sollten zeitnah aktualisieren: Angreifer attackieren derzeit bestimmte Windows-Systeme.

Adobe schließt Sicherheitslücken in Animate, ColdFusion Builder, Digital Editions, DNG Converter, Experience Manager, Experience Manager Forms, Flash Player, InDesign und RoboHelp. Außerdem ist der Flash Player unter ChromeOS, Linux, macOS und Windows verwundbar. Insgesamt schließt Adobe 17 kritische Sicherheitslücken. Der Anbieter warnt dringlich vor der Lücke mit der Kennung CVE-2016-7892, auf die es Angreifer aktuell abgesehen haben. Im Angriffsfokus sollen Windows-Nutzer mit dem Internet Explorer (32 Bit) stehen.

Der ganze Artikel (https://www.heise.de/newsticker/meldung/Patchday-Adobe-sichert-Flash-gegen-aktive-Angriffe-ab-3569968.html)

Quelle : www.heise.de
Titel: Adobe-Patchday: Flash Player wie üblich in kritischem Zustand
Beitrag von: SiLæncer am 15 Februar, 2017, 13:39
Im Flash Player und Adobe Digital Editions klaffen kritische Lücken. Aktuell sind vor allem Windows-Nutzer von den Flash-Lücken bedroht. Adobe Campaign erhält ebenfalls Sicherheitsupdates.

An Adobes zweitem Patchday in diesem Jahr steht vor allem der Flash Player im Fokus: Adobe stellt die abgesicherte Version 24.0.0.221 für Chrome OS, Linux, macOS und Windows bereit – alle vorigen Ausgaben sollen bedroht sein, warnt Adobe.

Insgesamt stopft das Sicherheitsupdate mehrere als kritisch eingestufte Sicherheitslücken, die insgesamt dreizehn CVE-Nummern zugeordnet sind. Angreifer sollen die Lücken aus der Ferne ausnutzen können, um diverse Speicherfehler (etwa integer overflow, use-after-free) auszulösen und letztlich Schadcode zur Ausführung zu bringen. So kann ein Übergriff in einer kompletten Übernahme eines gefährdeten Computers enden.

Der ganze Artikel (https://www.heise.de/newsticker/meldung/Adobe-Patchday-Flash-Player-wie-ueblich-in-kritischem-Zustand-3626386.html)

Quelle : www.heise.de
Titel: Patchday: Adobe umsorgt Flash und Shockwave Player
Beitrag von: SiLæncer am 15 März, 2017, 18:51
Wie gewohnt flickt Adobe den Flash Player – darüber hinaus bekommt diesen Monat auch der Shockwave Player ein Sicherheits-Update serviert.

Adobes Flash Player ist mal wieder in kritischem Zustand und Chrome-OS-, Linux-, macOS- und Windows-Nutzer sollten zeitnah die abgesicherte Version 25.0.0.127 installieren. Alle vorigen Versionen sollen bedroht sein, warnt Adobe.

Den Bedrohungsgrad der Lücken stuft Adobe mit "kritisch" ein. Setzt ein Angreifer an einer Lücke an, kann er ganze Computer kapern. Neben dem Ausführen von Schadcode aus der Ferne sollen Angreifer auch Informationen abgreifen können. Insgesamt sind die Schwachstellen sieben CVE-Nummern zugeteilt. Details zu Angriffsszenarien gibt Adobe wie gewohnt nicht bekannt.

Der ganze Artikel (https://www.heise.de/newsticker/meldung/Patchday-Adobe-umsorgt-Flash-und-Shockwave-Player-3653924.html)

Quelle : www.heise.de
Titel: Patchday: Adobe stopft kritische Lücken in Acrobat, Reader, Flash und Photoshop
Beitrag von: SiLæncer am 11 April, 2017, 20:10
Kritische Lücken in Flash sowie in Adobe Acrobat und Reader benötigen sofortige Aufmerksamkeit. Auf ungepatchten Systemen können Angreifer Schadcode aus der Ferne ausführen. Photoshop ist diesmal auch mit Sicherheitslücken beim Patchday dabei.

Adobe hat kritische Sicherheitslücken in Flash, Adobe Acrobat, Reader und in Photoshop geschlossen. Dabei handelt es sich fast ausschließlich um Speicherverarbeitungsfehler. Wichtige Updates gibt es auch für die Desktop-App der Creative Cloud und das Marketing-Tool Adobe Campaign. Wie immer sollten vor allem Flash- und Acrobat-Updates schnellstmöglich installiert werden, da die Lücken zur Ausführung von Schadcode aus der Ferne missbraucht werden können.

Die meisten Schwachstellen finden sich in Acrobat und Reader, wo dutzende einzelne Bugs gefixt wurden. Das Update mit der höchsten Priorität ist allerdings das für Flash, denn ungepatchte Versionen des Flash Players dürften aller Erfahrung nach bald Ziel von Drive-By-Angriffen im Web werden. Adobe empfiehlt auf die folgenden abgesicherten Versionen seiner Software zu aktualisieren:

    Flash 25.0.0.148 für Windows, macOS und Linux
    Acrobat und Reader XI 11.0.20 für Windows und macOS
    Acrobat und Reader DC 2015.006.30306 für Windows und macOS
    Acrobat und Reader DC Continuous 2017.009.20044 für Windows and macOS
    Adobe Photoshop CC 2015.5 17.0.2 für Windows and macOS
    Adobe Photoshop CC 2017 18.1 für Windows and macOS
    Adobe Creative Cloud 4.0.0.185 für Windows
    Adobe Campaign v6.11 Build 8795 für Windows und Linux

Die Flash-Installationen für Google Chrome und Microsoft Edge unter Windows 10 und 8.1 aktualisieren sich wie gehabt automatisch.

Quelle : www.heise.de
Titel: Patchday: Flash Player wie immer für Schadcode anfällig
Beitrag von: SiLæncer am 10 Mai, 2017, 13:47
Adobe veröffentlicht abgesicherte Versionen des Flash Players und Experience Manager Forms. Aufgrund kritischer Lücken sollten Sie Flash zügig aktualisieren.

Angreifer könnten sieben als kritisch eingestufte Sicherheitslücken im Flash Player ausnutzen, um Computer komplett zu übernehmen. Auch Adobes Experience Manager Forms ist verwundbar.

Von den Schwachstellen in Flash sind alle Version bis einschließlich 25.0.0.148 und 25.0.0.163 unter Chrome OS, Linux, macOS und Windows betroffen. Die Ausgabe 25.0.0.171 ist abgesichert. Das Ausnutzen dieser Lücken soll in allen Fällen zu Speicherfehlern (etwa use-after-free) führen und mit der Ausführung von Schadcode enden. Sechs der Schwachstellen hat ein Sicherheitsforscher von Tencent KeenLab entdeckt und an Adobe gemeldet.

Der ganze Artikel (https://www.heise.de/newsticker/meldung/Patchday-Flash-Player-wie-immer-fuer-Schadcode-anfaellig-3709027.html)

Quelle : www.heise.de
Titel: Patchday: Adobe stopft kritische Flash-Lücke
Beitrag von: SiLæncer am 12 Juli, 2017, 13:14
Adobe patcht mal wieder Flash und Anwender sollten das Update, wie üblich, schnellstmöglich installieren. Kleinere Sicherheitslücken wurden außerdem in der Web-Conferencing-Software Adobe Connect für Windows geschlossen.

Adobes Patchday für den Juli hat einen kleineren Umfang als gewöhnlich und enthält Sicherheitsupdates für den Flash Player und die Windows-Version der Web-Conferencing-Software Adobe Connect. Den Flash-Player betreffen drei Sicherheitslücken, eine davon gilt als kritisch. Nutzer sollten sich allerdings nicht durch die ungewöhnlich kleine Anzahl der geschlossenen Lücken täuschen lassen: Auf Grund der Verbreitung und Exponiertheit von Flash ist die Software nach wie vor eine beliebtes Ziel für Drive-By-Angriffe im Netz.

Der ganze Artikel (https://www.heise.de/security/meldung/Patchday-Adobe-stopft-kritische-Flash-Luecke-3769609.html)

Quelle : www.heise.de
Titel: Adobe verabschiedet sich von Flash: 2020 ist Schluss
Beitrag von: SiLæncer am 25 Juli, 2017, 19:14
Das Ende des Flash-Plugins hat begonnen. Bis 2020 werden die Browser-Hersteller die Unterstützung der Software immer weiter zurückfahren und dann will Adobe sie ganz zurückziehen. Dann geht sie in die Annalen der Internetgeschichte ein.

Der US-Konzern Adobe hat das schrittweise Ende des Flash Players angekündigt. Ab Ende 2020 sollen keine Updates mehr für die Software veröffentlicht werden, die dann außerdem nicht mehr verbreitet werden soll. Damit werden viele Internetnutzer und Entwickler erhört, die bereits seit langem das Ende des Plugins fordern, das fürs Surfen seit längerem nicht mehr zwangsläufig notwendig war, sondern vor allem durch immer neue Sicherheitslücken auf sich aufmerksam gemacht hat. Zum angekündigten Abschied erinnert Adobe nun noch einmal daran, wie wichtig Flash für die Verbreitung interaktiver und kreativer Inhalte war. Inzwischen erfüllten aber offene Standards wie HTML5, WebGL und WebAssembly diese Rolle.

Gleichzeitig zu Adobe haben gleich mehrere große Internetkonzerne ihre eigenen Pläne für den Abschied von Flash vorgestellt. Facebook etwa fordert Entwickler auf, bei der Erstellung der Inhalte nun ganz auf Alternativen zu setzen. Flash werde aber auf der Plattform noch bis 2020 unterstützt, wenn auch mit immer mehr Einschränkungen – etwa ein Klick vor dem Start des Plugins. Google, Firefox und Microsoft wollen die Unterstützung von Flash in den eigenen Browsern Chrome, Firefox und Edge immer weiter zurückfahren. So soll etwa ab 2018 immer gefragt werden, bevor Flash ausgeführt wird. Es sei viel Arbeit nötig gewesen, aber das Internet sei nun bereit für das Ende von Flash, schreibt Google.

Wechselvolle Geschichte

Das Flash-Plugin blickt auf eine mehr als 20-jährige Geschichte zurück und wurde von der US-Firma Macromedia in die Welt gesetzt. Adobe übernahm Macromedia dann 2005 und damit auch das Plugin, das zu jener Zeit auf fast allen Rechner installiert war, um Medieninhalte darzustellen. Danach sank jedoch dessen Beliebtheit, nicht zuletzt weil der damalige Apple-Chef Steve Jobs das Plugin ablehnte und es nicht aufs iPhone beziehungsweise iPad ließ. Gleichzeitig gewannen Alternativen an Fahrt. Während Flash immer unwichtiger wurde, rückten die Sicherheitsprobleme immer mehr in den Fokus. Schließlich wurde das Plugin immer öfter blockiert und nun zieht Adobe die wohl folgerichtige Konsequenz.

Quelle : www.heise.de



Das wird aber auch echt Zeit ...
Titel: Patchday: Nur zwei Lücken im Flash Player, dafür 67 Schwachstellen im Reader
Beitrag von: SiLæncer am 09 August, 2017, 11:33
Diesen Monat steht ausnahmsweise mal nicht der Flash Player im Rampenlicht von Adobes Patchday.

Adobe versorgt diese Monat Acrobat, Digital Editions, Experience Manager, Flash Player und Reader mit Sicherheitsupdates. Insgesamt gelten 46 Lücken als kritisch und können zur Übernahme von Computern führen.

Wer Adobe Acrobat und Reader unter macOS oder Windows nutzt, sollte sicherstellen, dass die in der Sicherheitswarnung aufgelisteten abgesicherten Versionen installiert sind. Setzen Angreifer an den kritischen Schwachstellen an, können sie bis auf wenige Ausnahmen Speicherfehler auslösen, um so Schadcode auszuführen.

Adobe Digital Editions ist unter Android, iOS, macOS und Windows bis einschließlich Version 4.5.5 verwundbar. Die Ausgabe 4.5.6 ist abgesichert. Auch hier kann ein Ausnutzen der Lücken im schlimmsten Fall die Ausführung von Schadcode bedeuten.

Der ganze Artikel (https://www.heise.de/security/meldung/Patchday-Nur-zwei-Luecken-im-Flash-Player-dafuer-67-Schwachstellen-in-Adobe-Reader-3796093.html)

Quelle : www.heise.de
Titel: Adobe stopft Sicherheitslücken in Flash, ColdFusion und RoboHelp
Beitrag von: SiLæncer am 13 September, 2017, 13:25
Auch bei Adobe ist wieder Patchday und der Tradition entsprechend patcht die Firma zu dieser Gelegenheit wieder einmal kritische Lücken im Flash Player. Auch ColdFusion und RoboHelp erhalten Updates.

Adobe mag Flash bereits für tot erklärt haben, patcht aber weiterhin fleißig Lücken in dem ungeliebten Multimedia-Framework. Diesen Monat nimmt sich die Firma zwei kritische Speicherverwaltungsfehler vor, die von Angreifern missbraucht werden können, um Schadcode aus dem Netz auf das System eines Opfers zu bringen und dort auszuführen. Betroffen sind wie üblich alle Versionen des Flash Players: Auf Windows, macOS und Linux, wobei die Lücke auf Linux-Rechnern weniger kritische Konsequenzen hat als auf den anderen Betriebssystemen. Anwender sollten sicherstellen, dass ihre Installation auf Version 27.0.0.130 aktualisiert wurde – dann sind sie laut Adobe gegen die Angriffe gefeit.

ColdFusion, Adobes alterndes Java-basiertes Framework für Web-Apps, weist ebenfalls kritische Lücken auf. Auch hier können Angreifer aus der Ferne Code einschießen, der dann ausgeführt wird, da die Software die Java-Daten nicht wie vorgesehen einliest. Administratoren, die das 2016er Release der Software einsetzen sollten Update 5 installieren, um die Lücken zu stopfen. ColdFusion 11 kann mit Update 13 abgedichtet werden. Eine der Lücken (CVE-2017-11285) wurde von einem Mitarbeiter der Sicherheitsabteilung der Deutschen Telekom entdeckt.

Eine Software, die von Adobe eher selten mit Sicherheitsupdates versorgt wird, ist die der Hilfetext-Editor RoboHelp. An diesem Patchday schließt Adobe allerdings zwei Sicherheitslücken in der Software, die von der Firma als "wichtig" klassifiziert werden und die für Cross-Site-Scripting- und Open-Redirect-Angriffe missbraucht werden können. Das Update RH2017.0.2 oder alternativ der Hotfix-Patch namens RH12.0.4.460 schließen diese Lücken. RoboHelp ist nur für Windows verfügbar.

Quelle : www.heise.de
Titel: Notfall-Update für Adobe Flash Player – jetzt patchen!
Beitrag von: SiLæncer am 16 Oktober, 2017, 17:46
Eine Sicherheitslücke in Adobes Flash Player ermöglicht die Remote Code Execution. Sie wird bereits aktiv von Angreifern missbraucht. Updates stehen bereit und sollten so schnell wie möglich eingespielt werden.

Für den Adobe Flash Player für Windows, Linux, Mac und Chrome OS stehen Updates bereit, die eine kritische Sicherheitslücke schließen. Betroffen sind die Adobe Flash Player Desktop Runtime (Windows, Mac OS, Linux) und der Flash Player für Google Chrome (Windows, Mac OS, Linux, Chrome OS) in allen Versionen bis 27.0.0.159 inklusive sowie der Flash Player für Microsoft Edge und Internet Explorer 11 (Windows 10 und 8.1) bis einschließlich Version 27.0.0.130.

Der ganze Artikel (https://www.heise.de/security/meldung/Notfall-Update-fuer-Adobe-Flash-Player-jetzt-patchen-3862841.html)

Quelle : www.heise.de

Edit von Jürgen:
Die gepatchte Version ist dann die 27.0.0.170
Titel: Re: Patchday bei Adobe
Beitrag von: Jürgen am 28 Oktober, 2017, 13:35
Eben hat der Adobe Flash Player ein Update angeboten, das ich allerdings, wie hier üblich, nicht direkt angenommen sondern für beide hier verwendeten Varianten händisch installiert habe.
 
Das ergibt nun die Version 27.0.0.183, hier sowohl für NPAPI als auch für PPAPI.

Ein change log o.ä. dazu habe ich bisher nicht gefunden.

Für MS Edge und IE sehe ich dieses Update hier noch nicht, zuletzt nur das Sicherheitspudate KB4049179 vom 17.10.2017, das dem am 16.10 gemeldeten vorigen Patch gleichen dürfte.

Jürgen
Titel: Re: Patchday bei Adobe
Beitrag von: ritschibie am 28 Oktober, 2017, 21:33
Ich hab das jetzt auch von der Adobe Seite her installiert. Verwirrend ist das (wie üblich beim Flash Player) schon. Erst vor
12 Tagen ein Not-Update und jetzt ein weiteres Update: bin echt froh, wenn man das Ding nicht mehr braucht.

Hatte übrigens keinen Hinweis von Adobe deshalb ein herzliches Dankeschön an Dich!  :jo
Titel: Re: Patchday bei Adobe
Beitrag von: Jürgen am 29 Oktober, 2017, 00:19
Bei der Gelegenheit noch kurze Hinweise:

Auf diesem Rechner gibt es gleich drei Flash Plugins, NPAPI für Firefox, PPAPI für andere alternative Browser, sowie das von MS gelieferte für Edge und IE. Um letzteres kümmert sich also Windows Update, weil das nicht anders geht, um die anderen ich mich selbst.

Die beiden Versionen für alternative Browser erscheinen praktisch zeitgleich. Ihre Update-Einstellungen sind hier nur auf Benachrichtigen, u.a. weil ich während einer längeren Sitzung nicht unterbrochen werden will. Zudem will ich ganz sicher nicht auf irgendeiner Webseite von einer Fälschung angegriffen werden.
Also werde ich auf ein entsprechendes Popup niemals direkt reagieren.

Statt dessen habe ich mir schon vor langer Zeit Kopien der direkt bei Adobe 'für andere Rechner' heruntergeladenen Online-Installer zurückgelegt. Weil sich diese bei jeder Ausführung jeweils selbst zerstören, auch trotz Umbenennung oder Schreibschutz, kopiere ich diese erst in einen anderen Ordner, bevor ich sie von da nacheinander ausführe.
Das ist allemal schneller, als jedesmal per Webseite beide Installer neu zu holen.
Unabhängig von ihrer Versions-Bezeichnung im Dateinamen laden die Installer nämlich immer tatsächlich die aktuelle Version.

Das hat hier so seit etwa Version 18 gut funktioniert, außer kürzlich beim Update auf die erste 27.*, dafür mußte ich beide Installer doch einmal neu holen, habe sie seitdem wieder je dreimal benutzt.

Abschließend weise ich noch darauf hin, daß die nach Installation erfolgende Meldung im Standardbrowser nur für die jeweilige Variante des Plugins gilt, nicht für eventuell parallel existierende weitere.
Auch per Systemsteuerung werden in der Sektion Flash Player nur die Plugins für alternative Browser geprüft und aufgezeigt, nicht die MS Variante für Edge und IE. Letztere findet man im MS Update-Verlauf.

Jürgen
Titel: Patchday: Adobe Acrobat und Reader sind das neue Flash
Beitrag von: SiLæncer am 15 November, 2017, 13:43
Adobe schließt in seinem Software-Portfolio einen Haufen Sicherheitslücken. Davon gelten viele als kritisch – der Löwenanteil klafft in Acrobat und Reader.

Am Adobe-Patchday im November steht nicht der Flash Player im Rampenlicht, sondern Acrobat und Reader. Die in den PDF-Anwendungen klaffendem Lücken sind 62 CVE-Nummern zugeteilt. Sicherheitsupdates stehen zum Download bereit.

Von Acrobat und Reader sind verschiedene Versionen für macOS und Windows bedroht, die Adobe in einer Sicherheitswarnung auflistet. Alle Lücken gelten als kritisch. In vielen Fällen soll es ausreichen, wenn Angreifer Opfer dazu bringen präparierte PDF-Dokumente zu öffnen. Anschließend können die Angreifer Schadcode aus der Ferne ausführen, warnt Adobe.

Der ganze Artikel (https://www.heise.de/security/meldung/Patchday-Adobe-Acrobat-und-Reader-sind-das-neue-Flash-3890424.html)

Quelle : www.heise.de
Titel: Patchday: Adobe kümmert sich fast ausschließlich um Acrobat
Beitrag von: SiLæncer am 14 Februar, 2018, 13:28
In Acrobat und Reader für macOS und Windows klaffen kritische Sicherheitslücken. Abgesicherte Versionen sind verfügbar.

In Adobes Acrobat-Familie gibt es Verwundete: In verschiedenen Ausgaben von Acrobat DC und Reader klaffen vier kritische Sicherheitslücken. Adobe ordnet die Schwachstellen mit zweithöchster Priorität ein.

Betroffen sind diverse Versionen unter macOS und Windows. Diese und die abgesicherten Ausgaben listet Adobe in einer Sicherheitswarnung auf. Nutzer können innerhalb der Anwendungen unter dem Punkt "Hilfe" nach Aktualisierungen suchen, die sich automatisch installieren.

Nutzen Angreifer die Schwachstellen aus, können sie Schadcode ausführen oder sich höhere Nutzerrechte aneignen. Weitere Details zu Angriffsszenarien sind derzeit nicht bekannt.

Weitere bedrohte Produkte

Darüber hinaus veröffentlicht Adobe Sicherheitsupdates für Experience Mannager für alle Plattformen. Darin klaffen zwei XSS-Lücken, die Adobe als "wichtig" und "moderart" einstuft. Infos zu den bedrohten und abgesicherten Ausgaben finden sich in einer Sicherheitswarnung.

Für den Flash Player gibt es an diesem Patchday kein Update. Dieser hat bereits Anfang des Monats ein Notfall-Update erhalten. Der Grund dafür war, dass Angreifer eine Lücke aktiv ausnutzen.

Quelle : www.heise.de
Titel: Patchday: Adobe schließt "nur" zwei kritische Lücken im Flash Player
Beitrag von: SiLæncer am 14 März, 2018, 13:22
Es gibt neue Sicherheitsupdates für verschiedene Adobe-Produkte. Die Patches schließen unter anderem kritische Lücken in Dreamweaver und Flash.

Angreifer könnten Nutzer von Adobe Connect, Flash und Dreamweaver attackieren und Schadcode ausführen. Als besonders kritisch gelten zwei Sicherheitslücken im Flash Player und eine Lücke in Dreamweaver.

Von den Lücken in Flash sind alle Versionen bis einschließlich 28.0.0.161 unter Chrome OS, Linux, macOS und Windows bedroht. Die Ausgabe 29.0.0.113 ist abgesichert. Wie Angreifer Attacken einleiten können, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass ein Angriff aus der Ferne und ohne Authentifizierung klappt.

Welche Flash-Version auf dem eigenen Computer läuft, kann man auf einer Webseite von Adobe prüfen. Die abgesicherten Ausgaben findet sich über die Download-Webseite. An dieser Stelle sollte man aufpassen: Standardmäßig ist weitere Software ausgewählt, die neben dem Flash Player auf dem Computer landet – diese kann man manuell abwählen. Der Webbrowser Chrome aktualisiert Flash automatisch. Unter Windows 8.1 und 10 tun dies auch Edge und Internet Explorer 11. Das Ende des Flash Players ist indes beschlossen: Ende 2020 soll Schluss sein.

Dreamweaver und Connect

Adobe Dreamweaver CC 18.0 und alle vorigen Versionen unter Windows sind für einen OS-Command-Injection-Angriff anfällig. Darüber könnten Angreifer Code mit Rechten des Opfers ausführen. In der Ausgabe 18.1 hat Adobe die Lücke geschlossen.

Nutzen Angreifer zwei Schwachstellen in Connect aus, könnten sie unter gewissen Voraussetzungen einen XSS-Angriff ausführen und Dateien löschen, beziehungsweise die Anwendung vom Computer entfernen. Davon sind alle Versionen bis einschließlich 9.7 auf allen Plattformen bedroht. Die Ausgabe 9.7.5 schafft Abhilfe.

Quelle : www.heise.de
Titel: Patchday: Kritische Flash-Updates und mehr
Beitrag von: SiLæncer am 11 April, 2018, 13:11
Adobe patcht sich im April quer durch das eigene Software-Portfolio. Kritische Lücken klaffen in ColdFusion und Flash Player.

Ab sofort stellt Adobe Sicherheitsupdates für ColdFusion, Digital Editions, Experience Manager, Flash, InDesign und PhoneGap Push Plugin zum Download bereit. Wer diese Software nutzt, sollte die aktualisierten Versionen zügig installieren.

Von den als kritisch geltenden Lücken im Flash Player sind alle Versionen bis einschließlich 29.0.0.113 unter ChromeOS, Linux, macOS und Windows bedroht. Nutzt eine Angreifer die Schwachstellen erfolgreich aus, soll er Schadcode mit den Nutzerrechten eines Opfers ausführen können. Details zum Angriffsszenario sind derzeit nicht bekannt. Aufgrund des Schweregrads der Lücken ist davon auszugehen, dass ein Angriff aus der Ferne stattfinden kann. Die Ausgabe 29.0.0.140 ist abgesichert.

Um herauszufinden welche Version auf dem eigenen Computer installiert ist, genügt der Besuch einer Adobe-Webseite. Wer den Flash Player herunterlädt muss aufpassen: Dabei landet standardmäßig noch weitere Software auf dem Computer. Diese Option kann man manuell abwählen. Unter Windows 8.1 und 10 bekommen Internet Explorer 11 und Edge die aktuelle Flash-Ausgabe automatisch. Bei Chrome ist das auch der Fall. Ende 2020 ist dann Schluss mit der Flash-Patcherei, dann Adobe stellt die Software ein.

Noch mehr Sicherheitspatches

In ColdFusion klaffen unter anderem kritische Lücken. Davon sind laut Adobe alle Plattformen betroffen. ColdFusion (2016 release) Update 6 und ColdFusion 11 Update 14 sind abgesichert. Alle vorigen Ausgaben sollen verwundbar sein.

Darüber hinaus serviert Adobe noch Sicherheitsupdates für Digital Editions, Experience Manager, InDesign und PhoneGap Push Plugin. Diese Updates sind größtenteils als "wichtig" eingestuft.

Quelle : www.heise.de
Titel: Patchday: Adobe umsorgt Connect, Creative Cloud und Flash Player
Beitrag von: SiLæncer am 09 Mai, 2018, 13:32
Adobe hat wichtige Sicherheitsupdates für verschiedene Produkte veröffentlicht. Die Lücken in Flash gelten als kritisch.

Der Flash Player von Adobe ist unter Chrome OS, Linux und macOS verwundbar. Angreifer sollen die als kritisch eingestuften Lücken aus der Ferne ausnutzen können, um Schadcode auszuführen. In so einem Fall gilt ein Computer als kompromittiert. Aufgrund des Bedrohungsgrades ist davon auszugehen, dass erfolgreiche Übergriffe ohne Authentifizierung möglich sind.

Die aktuelle Version 29.0.0.171 ist abgesichert – alle vorigen Ausgaben sind Adobe zufolge für Angriffe anfällig. Um zu prüfen, welche Version auf dem eigenen Computer installiert ist, muss man lediglich eine Adobe-Webseite besuchen.

Beim Herunterladen des Flash Players muss man aufpassen, denn standardmäßig ist zusätzliche Software ausgewählt – diese kann man aber abwählen. Unter Windows 8.1 und 10 bekommen Internet Explorer 11 und Edge die aktuelle Flash-Ausgabe automatisch. Bei Chrome ist das auch der Fall. Ende 2020 ist Schluss mit der Flash-Patcherei, dann stellt Adobe die Software ein.

Weitere Sicherheitslücken

In Creative Cloud Desktop stopft Adobe mit der Version 4.5.0.331 für macOS und Windows eine kritische und zwei wichtige Sicherheitslücken. Darüber könnten sich Angreifer beispielsweise höhere Nutzerrechte verschaffen. Die Schwachstellen finden sich in den Ausgaben bis einschließlich 4.4.1.298. Die aktualisierte Version sollte automatisch per Auto-Update-Funktion auf Computer kommen.

Nutzer von Adobe Connect sollten die reparierte Version 9.7.5, die für alle Plattformen verfügbar ist, installieren. In vorige Fassungen findet sich eine Sicherheitslücke, über die Angreifer sich Zugriff auf Informationen verschaffen könnten.

Quelle : www.heise.de
Titel: Notfall-Patch: Angriffe auf Flash Player unter Windows
Beitrag von: SiLæncer am 07 Juni, 2018, 16:07
Adobe hat Sicherheitsupdates für Flash veröffentlicht. Windows-Nutzer sollten diese schnellstens installieren.

Derzeit attackieren Angreifer gezielt den Flash Player unter Windows. Nutzen Angreifer verschiedene Sicherheitslücken aus, sollen sie aus der Ferne ohne Authentifizierung Schadcode mit den Rechten des Opfers auf Computern ausführen können, zeigt Adobe in einer Sicherheitswarnung auf.

Insgesamt klaffen vier Schwachstellen in den Flash-Player-Versionen bis einschließlich 29.0.0.171. Zwei Lücken gelten als krtitisch. Davon sind Chrome OS, Linux, macOS und Windows bedroht. Die Entwickler haben die Schwachstellen in der Ausgabe 30.0.0.113 geschlossen.

Auf einer Adobe-Webseitekann man prüfen, welche Version auf dem eigenen Computer installiert ist. Standardmäßig ist beim Download von Flash weitere Software ausgewählt. Diese kann man manuell abwählen. Unter Windows 8.1 und 10 bekommen Internet Explorer 11 und Edge die aktuelle Flash-Ausgabe automatisch. Bei Chrome funktioniert das auch so.

Angriff nicht ohne Weiteres möglich

Bevor Angreifer Schadcode auf Computern ausführen können, müssen sie dem Opfer eine mit Flash-Inhalten präpariertes Office-Dokumente unterjubeln. Anschließend muss das Opfer dieses noch öffnen. Erst dann geht eine Attacke erfolgreich vonstatten.

Quelle : www.heise.de
Titel: Patchday: Adobe Acrobat befindet sich in kritischem Zustand
Beitrag von: SiLæncer am 15 August, 2018, 10:04
Es gibt wichtige Sicherheitsupdates für Adobe Acrobat, Creative Cloud Desktop, Experience Manager, Flash und Reader.

In verschiedenen Anwendungen von Adobe klaffen zum Teil kritische Sicherheitslücken, für die es nun Patches gibt. Wer betroffene Software nutzt, sollte die abgesicherten Versionen zügig installieren.

Acrobat-Lücken

Verschiedene Ausgaben von Acrobat und Reader sind über als kritisch eingestufte Schwachstellen unter macOS und Windows angreifbar. Nutzen Angreifer die Lücken aus, könnten Sie Adobe zufolge Speicherfehler initiieren und im Anschluss Schadocde ausführen.

Die betroffenen Versionen listet Adobe neben den reparierten Ausgaben in einer Sicherheitswarnung auf. Die Anwendungen sollten sich automatisch aktualisieren. Alternativ kann man ein Update unter dem Menüpunkt "Hilfe" manuell anstoßen. Admins können die Installationsdateien auch herunterladen.

Flash & Co.

Für den Flash Player hat der Software-Hersteller die fehlerbereinigte Version 30.0.0.134 für Chrome OS, Linux, macOS und Windows veröffentlicht – alle vorigen Ausgaben sollen verwundbar sein. Das Update auf den aktuellen Flash Player 30.0.0.154 ordnet Adobe als "wichtig" ein. Setzen Angreifer an den Lücken an, könnten sie sich unter anderem höhere Rechte aneignen und Informationen abziehen.

Drei Sicherheitslücken in Experience Manager hat Adobe mit dem Bedrohungsgrad "moderat" eingestuft. Davon sind verschiedene Ausgaben für alle Plattform betroffen, warnt Adobe. Creative Cloud Desktop Application unter Windows ist anfällig für eine Privilege-Escalation-Attacke. Die aktuelle Version 4.5.5.342 ist abgesichert und steht ab sofort zum Download bereit. Unter dem Reiter "Allgemein" kann man überprüfen, welche Ausgabe auf dem eigenen Computer installiert ist.

Quelle : www.heise.de
Titel: Patchday Adobe: Flash könnte Daten leaken, ColdFusion ist für Schadcode anfällig
Beitrag von: SiLæncer am 12 September, 2018, 13:14
Adobe hat wichtige Sicherheitsupdates veröffentlicht, die unter anderem kritische Lücken schließen.

Die Middleware ColdFusion von Adobe ist unter anderem über mehrere als kritische eingestufte Sicherheitslücken angreifbar. Für den Flash Player gibt es eine neue Version, in der die Entwickler ein Informationsleck gestopft haben. Reparierte Version stehen zum Download bereit. Diese sollten Anwender zügig installieren.

Nutzen Angreifer die Lücken in ColdFusion aus, könnten sie zum Beispiel Informationen abziehen, Dateien überschreiben und sogar Schadcode einschleusen und ausführen. In der Sicherheitswarnung listet Adobe die CVE-Nummern der Lücken auf. Dort findet man auch die betroffenen Versionen. Diese sind unter allen Plattformen angreifbar.

Abgesichert sind die Ausgaben ColdFusion 2018 Update 1, 2016 Update 7 und ColdFusion 11 Update 15. Damit die Patches wirken, müssen Andwender je nach ColdFusion-Version ein aktuelles Java Development Kit (JDK) installiert haben. Näheres dazu steht in der Sicherheitswarnung. Zusätzlich verweist Adobe auf allgemeine Sicherheitshinweise für ColdFusion 11, ColdFusion 2016 und ColdFusion 2018.

Flash

Der Flash Player ist für Chrome OS, Linux, macOS und Windows in der aktuellen Version 31.0.0.108 erschienen. Darin haben die Entwickler eine Sicherheitslücke geschlossen, über die Angreifer unberechtigt auf Informationen auf einem Computer zugreifen könnten. Adobe zufolge sind alle vorigen Ausgaben für derartige Angriffe anfällig. Sie stufen das Sicherheitsupdate als "wichtig" ein.

Auf einer Webseite von Adobe kann man prüfen, welche Version installiert ist. Auf der offiziellen Downloadseite findet man die aktuelle Ausgabe. Wer Windows 8.1 oder 10 mit Internet Explorer 11 oder Edge nutzt, bekommt das Sicherheitsupdate automatisch serviert. Das ist auch bei Chrome der Fall.

Quelle : www.heise.de
Titel: Patchday: Adobe stopft kritische Lücke in Digital Editions
Beitrag von: SiLæncer am 10 Oktober, 2018, 13:35
Ein Sicherheitsupdate für Flash, das keins ist, und die Abwesenheit von Reader-Patches sorgen bei Adobe für einen eher untypischen Patchday.

An seinem monatlichen Patchday stopft Adobe Sicherheitslücken in Digital Editions, dem Adobe Experience Manager, in seiner Technical Communications Suite und in Framemaker. Ein Flash-Update ist auch dabei, schließt aber entgegen seiner Namensgebung keine Sicherheitslücken. Patches für Adobe Reader gibt es keine, allerdings hatte die Firma erst Anfang des Monats Reader-Patches außerhalb des normalen Patch-Zykluses verteilt.

Die Ebook-Software Digital Editions enthält eine kritische Sicherheitslücke, über die ein Angreifer dem Anwender Schadcode unterschieben und im Kontext dessen Nutzerkontos ausführen kann. Der Angreifer hätte damit Zugriff auf die selben Daten wie der Anwender. Betroffen sind die Versionen für Windows, macOS und iOS; Version 4.5.9 der Software behebt das Problem. Sowohl die Adobe Technical Communications Suite als auch das Dokumentenverarbeitungsprogramm Framemaker haben ein Problem mit ihrem Installer, das dazu missbraucht werden kann, die Rechte von vorhandenem Schadcode auszuweiten.

Mit neuen Versionen des Adobe Experience Manager schließen die Entwickler außerdem mehrere kleinere Sicherheitslücken in dieser Software. Auch Flash erhält Updates, die bei Adobe als "Sicherheitsupdates" gelistet sind. Laut den Entwicklern beheben sie allerdings nur "Funktions- und Performance-Bugs" auf Windows, macOS, Linux und Chrome OS.

Quelle : www.heise.de
Titel: Patchday bei Adobe: Nicht kritisch, aber wichtig
Beitrag von: SiLæncer am 14 November, 2018, 13:29
Sicherheitsupdates von Adobe schließen Lücken in Acrobat, Flash, Photoshop CC und Reader. Keine Schwachstelle gilt als "kritisch".

Setzen Angreifer an Sicherheitslücken in Acrobat, Flash, Photoshop CC und Reader an, könnten sie auf eigentlich abgeschottete Informationen zugreifen. Ab sofort verfügbare Patches schließen die Schwachstellen. Adobe hat alle Updates mit der Priorität "wichtig" eingestuft.

Der Flash Player von Adobe ist bis einschließlich Version 31.0.0.122 unter Chrome OS, Linux, macOS und Windows angreifbar, warnt das Unternehmen in einer Mitteilung. Die reparierte Ausgabe 31.0.0.148 schließt das Schlupfloch (CVE-2018-15978). Auf einer Website von Adobe kann man prüfen, welche Version auf dem eigenen Computer installiert ist. Die aktuelle Ausgabe findet man auf der offiziellen Download-Seite. Unter Windows 8.1 und 10 holen sich Internet Explorer 11 und Edge das Update automatisch. Auch Chrome macht das so.

PoC-Code öffentlich

Acrobat und Reader sind ausschließlich unter Windows bedroht. Die Versionsnummern der abgesicherten Ausgaben listet Adobe in einer Warnung auf. Nutzt ein Angreifer die Schwachstelle (CVE-2018-15979) erfolgreich aus, soll er Zugriff auf den Hash vom NTLM-Passwort haben. Proof-of-Concept-Code soll bereits öffentlich sein – Angriffe gibt es offenbar noch nicht.

Photoshop CC ist unter macOS und Windows bis einschließlich der Version 19.1.6 angreifbar. Nutzer sollten auf die Ausgabe 19.1.7 oder 20.0 aktualisieren. Auch hier handelt es sich um eine Information-Disclosure-Lücke (CVE-2018-15980), wie aus dem Adobe Security Bulletin hervorgeht.

Quelle : www.heise.de
Titel: Notfall-Patch: Adobe sichert Flash außer der Reihe ab
Beitrag von: SiLæncer am 20 November, 2018, 16:34
Eigentlich veröffentlicht Adobe nur ein Mal im Monat Sicherheitsupdates für seine Produkte. Für eine gefährliche Flash-Lücke macht der Hersteller eine Ausnahme.

Adobes Flash Player ist über eine als kritisch eingestufte Sicherheitslücke (CVE-2018-15981) angreifbar. Angreifer sollen die Type-Confusion-Schwachstelle aus der Ferne ausnutzen und Code mit den Nutzerrechten eines Opfers ausführen können. Ist ein Opfer Admin, könnten Angreifer die komplette Kontrolle über einen gefährdeten Computer erlangen.

Davon sind die Flash-Versionen bis einschließlich 31.0.0.148 unter Chrome OS, Linux, macOS und Windows bedroht. Die aktuelle Ausgabe 31.0.0.153 ist abgesichert, zeigt Adobe in einer Sicherheitswarnung auf. Aufgrund des Schweregrads der Lücke sollten Nutzer das Update zeitnah installieren.

Welche Version auf dem eigenen Computer läuft, kann man auf einer Website des Software-Herstellers prüfen. Auf der offiziellen Downloadseite findet man die reparierte Version. Der Browser Chrome aktualisiert Flash automatisch. Unter Windows 8.1 und Windows 10 holen sich Edge und Internet Explorer 11 die aktuelle Ausgabe selbstständig.

Quelle : www.heise.de
Titel: Patchday: Adobe Acrobat und Reader sind das neue Flash
Beitrag von: SiLæncer am 12 Dezember, 2018, 13:23
Es gibt jede Menge Sicherheitsupdates für Adobe Acrobat und Reader, die unter anderem 39 kritische Lücken schließen.

Gewöhnlich versorgt Adobe am monatlichen Patchday insbesondere den dauerkranken Patienten Flash mit Sicherheitspatches. Doch dieser hat aufgrund von aktiven Angriffen bereits Anfang Dezember eine Sonderbehandlung bekommen und geht nun leer aus. Dafür holt Adobe bei Acrobat und Reader mächtig aus und schließt in den Anwendungen insgesamt 87 Sicherheitslücken. Davon gelten 39 Schwachstellen als kritisch.

Wer die PDF-Anwendungen nutzt, sollte zügig die Sicherheitswarnung von Adobe aufrufen und dort Ausschau nach den abgesicherten Versionen halten. In der Warnung findet man auch die Versionsnummern der bedrohten Ausgaben. Acrobat und Reader sind unter macOS und Windows verwundbar. Die Updates sollten sich in den Standardeinstellungen automatisch installieren. Ist das nicht der Fall, können Nutzer eine Aktualisierung unter dem Menüpunkt "Hilfe" anstoßen.

Das Ausnutzen vom Großteil der Schwachstellen versetzt entfernte Angreifer in die Lage, Schadcode auf Computern ausführen zu können. Auch das Leaken von Informationen im Zuge einer Attacke ist Adobe zufolge vorstellbar.

Quelle : www.heise.de
Titel: Sicherheitsupdates: Zwei kritische Lücken in Adobe Acrobat und Reader
Beitrag von: SiLæncer am 04 Januar, 2019, 10:19
Adobe patcht seine PDF-Anwendungen außer der Reihe. Über ein Schlupfloch könnten Angreifer Schadcode ausführen.

Es gibt wichtige Sicherheitsupdates für Adobe Acrobat und Reader. Die PDF-Anwendungen sind über zwei als kritisch eingestufte Schwachstellen unter macOS und Windows attackierbar. Abgesicherte Versionen stehen zur Installation bereit.

In den Standardeinstellungen sollten sich die Anwendungen automatisch aktualisieren. Passiert das nicht, kann man den Vorgang unter dem Menüpunkt "Hilfe" anstoßen. Für eine effizientere Verteilung können Admins Enterprise Installer von Acrobat und Reader herunterladen und die Updates über verschiedene Methoden – beispielsweise SCUP/SCCM oder SSH – installieren.

Die Entwickler haben die Lücken in Acrobat DC/Reader DC (Continuous Track) 2019.010.20069, Acrobat 2017/Reader DC 2017 2017.011.30113 und Acrobat DC/Reader DC (Classic 2015) 2015.006.30464 geschlossen. Alle vorigen Versionen sind einer Warnmeldung von Adobe zufolge von den Sicherheitslücken betroffen.

Remote Code Execuion

Eine Schwachstelle (CVE-2018-16011) sollen Angreifer ohne Authentifizierung aus der Ferne ausnutzen können, um auf Computern Schadcode mit den Nutzerrechten eines Opfers auszuführen. Die zweite Lücke (CVE-2018-16018) könnten Angreifer zum Umgehen von Sicherheitsmechanismen ausnutzen. Weitere Details dazu sind derzeit nicht bekannt. Die Entdeckung von beiden Schwachstellen geht auf Sicherheitsforscher von Trend Micros Zero Day Initiative zurück.

Quelle : www.heise.de
Titel: Patchday: Flash-Updates, die mit Sicherheit nichts zu tun haben
Beitrag von: SiLæncer am 09 Januar, 2019, 13:40
Adobe hat Sicherheitsupdates für Connect und Digital Editions veröffentlicht. Bei Flash geht es diesen Monat um etwas anderes.

Connect und Digital Editions von Adobe sind verwundbar – die Sicherheitslücken gelten aber nicht als kritisch. Die als "wichtig" eingestuften Updates sind ab sofort verfügbar.

Connect ist einer Sicherheitswarnung von Adobe zufolge für alle Plattformen angreifbar. Die Ausgabe 10.1 ist abgesichert. Bedroht sollen alle Versionen bis einschließlich 9.8.1 sein. Nutzt ein Angreifer die Schwachstelle (CVE-2018-19718) aus, könnte er Details von Sessions auslesen (Session Token Exposure).

Digital Editions ist in der Version 4.5.10 für Android, iOS, macOS und Windows abgesichert. Alle vorigen Ausgaben sollen von der Lücke (CVE-2018-12817) betroffen sein. Ein erfolgreiches Ausnutzen der Schwachstelle soll zu einem Datenleck führen, warnt Adobe.

Was ist mit Flash?

Der Flash Player bekommt auch an diesem Patchday ein Update, dieses schließt aber ungewöhnlicherweise keine Sicherheitslücke, sondern es soll die Performance steigern.

Die aktuelle Version 32.0.0.114 steht für Chrome OS, Linux, macOS und Windows zum Download bereit. Unter Windows 8.1 und 10 holen sich Internet Explorer 11 und Edge das Update automatisch. Auch Chrome macht das so.

Quelle : www.heise.de
Titel: Patchday: Adobe schützt ColdFusion und Reader vor Schadcode
Beitrag von: SiLæncer am 13 Februar, 2019, 13:08
Adobe Acrobat, ColdFusion und Reader sind über kritische Sicherheitslücken angreifbar. Updates schaffen Abhilfe.

Angreifer könnten Computer mit der Adobe-Software Acrobat, ColdFusion, Creative Cloud Desktop, Flash und Reader attackieren und schlimmstenfalls Schadcode ausführen. Der Softwarehersteller hat nun abgesicherte Versionen veröffentlicht.

Mehrere Lücken in Acrobat und Reader gelten als kritisch. In allen Fällen könnten Angreifer aus der Ferne ohne Authentifizierung Speicherfehler auslösen und so Schadcode auf Computer schieben und ausführen. Davon sind verschiedene Versionen unter macOS und Windows betroffen. Die reparierten Ausgaben listet Adobe in einer Warnmeldung auf.

ColdFusion ist auf allen Plattformen bedroht. Wer die Middleware nutzt, sollte sicherstellen, dass die abgesicherten Versionen ColdFusion 11 Update 16, ColdFusion 2016 Update 8 oder ColdFusion 2018 Update 2 installiert sind. Ansonsten gibt es auch hier Anknüpfungspunkte für Schadcode, warnt Adobe in einem Beitrag.

Flash-Lücke nicht kritisch

Die Sicherheitsupdates für Flash und Creative Cloud Desktop stuft Adobe als "wichtig" ein. Flash könnte Daten leaken und die Lücke in Creative Cloud Desktop könnte Angreifern höhere Rechte verschaffen.

Quelle : www.heise.de
Titel: Patchday: Adobe sichert unter anderem Acrobat und Reader gegen Angriffe ab
Beitrag von: SiLæncer am 10 April, 2019, 13:14
Insgesamt 10 Produkte hat Adobe am Patchday mit teils wichtigen bis kritischen Updates versorgt.

Im Zuge des Patchdays hat Adobe Sicherheitsupdates für insgesamt 10 Produkte veröffentlicht. In neun von ihnen wurden Schwachstellen behoben, die das Unternehmen als "wichtig" bis "kritisch" einstuft. Hinzu kommt ein Update mit der Einstufung "mittel". Exploits der Schwachstellen in freier Wildbahn sind Adobe bislang nicht bekannt. Dennoch sollten Nutzer der genannten Produkte die bereitstehenden Updates zügig einspielen.

Die als "kritisch" eingestuften Lücken stecken in Adobe Acrobat und Reader, Bridge CC, Experience Manager Forms, Flash Player, InDesign, Shockwave Player und XD CC. Angreifer könnten sie laut Beschreibung in Adobes Sicherheitshinweisen missbrauchen, um beliebigen Code im Kontext des aktuellen Nutzers auszuführen. Eine kurze Recherche der in den Hinweisen aufgelisteten CVE-Nummern zeigt, dass dies vielfach ohne vorherige Authentifizierung aus der Ferne möglich ist.

Eine Lücke mittleren Bedrohungsgrads haben die Adobe-Entwickler in Dreamweaver geschlossen.

Weitere Details zu den betroffenen Versionen sowie die Download-Links zu den Updates können Nutzer den in dieser Meldung verlinkten Sicherheitshinweisen entnehmen. Zusätzlich hat Adobe auch eine Übersicht über alle aktuellen Advisories veröffentlicht.

Quelle : www.heise.de
Titel: Patchday für Adobe: Kritische Lücken in Reader, Flash Player und Co. gefixt
Beitrag von: SiLæncer am 15 Mai, 2019, 13:12
Zum Patchday hat Adobe zahlreiche Sicherheitsprobleme in Acrobat/Reader, Flash Player und Media Encoder beseitigt.

Adobe hat zahlreiche Sicherheitslücken in Acrobat und Reader (für Windows und macOS), im Flash Player (Windows, macOS, Linux und Chrome OS) sowie im Media Encoder geschlossen. Sie gelten durchweg als "Important" bis "Critical" und könnten von Angreifern missbraucht werden, um beliebigen Code im Kontext des aktuellen Benutzers auszuführen. Anwender sollten die bereitgestellten Updates zügig einspielen.

In mindestens einem Fall besteht die Gefahr eines Angriffs aus der Ferne: Die im Sicherheitshinweis zum Media Encoder aufgeführte kritische Lücke CVE-2019-7842 hat Adobe mit dem Hinweis "Remote Code Execution" versehen.

Details zu den betroffenen Versionen sowie die Download-Links zu den Updates können Nutzer den Security Bulletins zu Acrobat/Reader, Flash Player und Media Encoder entnehmen. Zusätzlich hat Adobe alle Bulletins in einem Blogeintrag verlinkt.

Quelle : www.heise.de
Titel: Patchday: Adobe schützt Campaign, ColdFusion und Flash Player vor Schadcode
Beitrag von: SiLæncer am 12 Juni, 2019, 13:33
Für verschiedene Adobe-Anwendungen gibt es wichtige Sicherheitsupdates, die kritische Lücken schließen.

Wer Adobe Campaign, ColdFusion oder Flash Player nutzt, sollte die Anwendungen auf den aktuellen Stand bringen und somit absichern. Die Anwendungen sind über als "kritisch" eingestufte Sicherheitslücken attackierbar. Im schlimmsten Fall sollen Angreifer Schadcode auf Computern von Opfern ausführen können.

Jetzt updaten

Von Campaign ist die Version 19.1.1-9026 für Linux und Windows abgesichert. Alle vorigen Ausgaben sind laut einer Warnung von Adobe gefährdet. Neben Schadcode-Attacken könnten Angreifer zudem unter Umständen auf eigentlich abgeschottete Informationen zugreifen. Das Sicherheitsupdate schließt mehrere Lücken in Campaign.

Der Flash Player ist unter Chrome OS, Linux, macOS und Windows verwundbar, führt Adobe in einem Beitrag zu der Schwachstelle aus. Die Version 32.0.0.207 ist abgesichert. Auf einer Webseite von Adobe kann man prüfen, welche Ausgabe auf dem eigenen Computer installiert ist. Der Webbrowser Chrome bekommt das Sicherheitsupdate automatisch. Unter Windows 8.1 und 10 ist das auch bei Internet Explorer 11 und Edge der Fall. Leidgeplagte müssen noch bis Ende 2020 durchhalten – dann stellt Adobe die Software ein.

Von Adobes App-Server ColdFusion sind die Versionen 11 Update 19, 2016 Update 11 und 2018 Update 4 repariert. Bedroht sind alle Plattformen. Es sind aber nicht alle Ausgaben von den Lücken betroffen. Infos dazu führt Adobe in seinem Sicherheitscenter auf.

Quelle : www.heise.de
Titel: Patchday: Adobe patcht ein bisschen – aber kein Flash
Beitrag von: SiLæncer am 10 Juli, 2019, 13:14
Adobe schlägt sich diesen Monat nicht mit kritischen Sicherheitslücken herum. Updates gibt es aber trotzdem.

Der Softwarehersteller Adobe hat abgesicherte Versionen seiner Anwendungen Bridge CC, Dreamweaver und Epxerience Manager veröffentlicht. Alle Updates sind als "wichtig" eingestuft – keine der Sicherheitslücken gilt als kritisch.

Adobe Bridge CC ist unter Windows und macOS verwundbar. Hier schafft die Ausgabe 9.1 Abhilfe, alle vorigen Versionen sollen angreifbar sein, führt Adobe in einer Mitteilung aus. Setzt ein Angreifer erfolgreich an der Lücke (CVE-2019-7963) an, könnte er unter Umständen auf eigentlich abgeschottete Informationen zugreifen.

Dreamweaver ist in den Versionen bis einschließlich 18.0 und 19.0 unter Windows angreifbar. In einer Warnung gibt Adobe an, dass sie die Schwachstelle (CVE-2019-7956) in den Ausgaben 2018 Release und 2019 Release geschlossen haben.

Experience Manager ist über mehrere Sicherheitslücken (CVE-2019-7953, CVE-2019-7954, CVE-2019-7955) attackierbar. Auch hier könnten Informationen leaken. Hinweise zu den bedrohten und abgesicherten Versionen listet Adobe in einem Beitrag auf.

Quelle : www.heise.de
Titel: Patchday Adobe: Photoshop & Co. als Schlupfloch für Schadcode
Beitrag von: SiLæncer am 14 August, 2019, 10:53
Adobe hat verschiedene Anwendungen wie Creative Cloud, Experience Manager und Photoshop abgesichert.

Die Adobe-Anwendungen Acrobat und Reader, After Effects CC, Character Animator CC, Creative Cloud Desktop Application, Experience Manager, Photoshop CC, Premiere CC und Prelude CC sind über teilweise als "kritisch" eingestufte Sicherheitslücken attackierbar. Sicherheitsupdates sind verfügbar.

Der ganze Artikel (https://www.heise.de/security/meldung/Patchday-Adobe-Photoshop-Co-als-Schlupfloch-fuer-Schadcode-4496325.html)

Quelle : www.heise.de
Titel: Patchday: Endlich mal wieder ein Flash-Update
Beitrag von: SiLæncer am 11 September, 2019, 13:10
Adobes Flash Player ist über eine kritische Sicherheitslücke angreifbar. Auch Application Manager ist verwundbar.

Am Patchday im September stellt Adobe wichtige Sicherheitsupdates für Application Manager und Flash bereit.

Die zwei Flash-Lücken (CVE-2019-8069, CVE-2019-8070) sind als "kritisch" eingestuft. In beiden Fällen könnte eine erfolgreiche Ausnutzung die Ausführung von Schadcode mit den Rechten des Opfers nach sich ziehen. Ist ein Opfer in so einem Fall Admin, gilt ein Computer als vollständig kompromittiert.

Betroffen von den Flash-Lücken sind Chrome OS, Linux, macOS und Windows. Abgesichert ist der Flash Player 32.0.0.255. Alle vorigen Ausgaben sollen angreifbar sein. Unter Windows 8.1 und 10 holen sich Edge und Internet Explorer die Aktualisierung automatisch. Das ist auch bei Chrome der Fall.

In den vorangegangenen Patchdays von Adobe hat der eigentliche Dauergast Flash schon länger kein Sicherheitsupdate mehr bekommen. Ab Ende 2020 ist dann endgültig Schluss damit und Adobe stellt den Flash Player ein.

Noch eine reparierte Version

Das Sicherheitsupdate (CVE-2019-8076) für Application Manager Installer für Windows ist als "wichtig" eingestuft. Zwar ist auch hier die Ausführung von Schadcode vorstellbar, wie es aussieht, müsste ein Angreifer dafür aber eine präparierte DLL-Datei auf verwundbare Systeme bringen. Abgesichert ist die Version Application Manager Installer 2019 Release.

Quelle : www.heise.de
Titel: Patchday: Kritische Sicherheitslücken in Adobe Illustrator CC
Beitrag von: SiLæncer am 13 November, 2019, 13:36
Adobes Multimedia-Anwendungen Animate, Bridge, Illustrator und Media Endocder sind attackierbar. Updates schließen mehrere Schwachstellen.

Wer Software von Adobe nutzt, sollte sicherstellen, dass diese auf dem aktuellen Stand ist. Ansonsten könnten Angreifer, wenn die Voraussetzungen stimmen, Schadcode auf Windows- und macOS-Computer schieben und ausführen.

In Illustrator CC sind zwei Sicherheitslücken (CVE-2019-8247, CVE-2019-8248) als "kritisch" eingestuft. Das Update für eine weitere Lücke (CVE-2019-7962) ist mit der Einschätzung "wichtig" versehen. Nach erfolgreichen Attacken könnten Angreifer mit erhöhten Rechten dastehen oder sogar Schadcode ausführen. Wie Angriffe ablaufen könnten, führt Adobe in einer Warnmeldung zum jetzigen Zeitpunkt nicht aus. Abgesichert ist die Version 24.0. Alle vorigen Ausgaben sollen unter macOS und Windows bedroht sein.

In Media Encoder gilt ebenfalls eine Schwachstelle (CVE-2019-8246) als kritisch und vier weitere als wichtig. Klappt eine Attacke könnten Angreifer eigenen Code ausführen oder auf Informationen im Kontext des angemeldeten Nutzers zugreifen, warnt Adobe in einem Beitrag. Auch hier sind macOS und Windows betroffen. In der Version 14.0 haben die Entwickler die Lücken geschlossen.

Nicht kritisch, aber wichtig

Als wichtig eingestufte Patches schließen zwei Lücken (CVE-2019-8239, CVE-2019-8240) in Bridge CC. Im Zuge einer erfolgreichen Attacke könnten Angreifer Daten leaken, führt Adobe in einer Sicherheitswarnung aus. Die Ausgabe 9.1 für macOS und Windows ist abgesichert.

Abschließend hat Adobe noch die aktualisierte Windows-Version von Animate CC 2019 19.2.1 veröffentlicht. Wie aus einem Beitrag von Adobe hervorgeht, haben die Entwickler darin eine Lücke (CVE-2019-7960) zum Erschleichen von erhöhten Nutzerrechten geschlossen.

Quelle : www.heise.de
Titel: Patchday: Adobe verarztet teils kritische Lücken in Acrobat, Reader und Co.
Beitrag von: SiLæncer am 11 Dezember, 2019, 13:49
Adobe hat wichtige Windows-, macOS- und Linux-Updates für Acrobat und Reader, Brackets, ColdFusion und Photoshop bereitgestellt.

Adobe hat Sicherheitsupdates für Acrobat und Reader, den HTML-Editor Brackets, ColdFusion und Photoshop veröffentlicht. Anwender sollten diese möglichst zeitnah sowohl unter Windows als auch unter macOS und Linux einspielen, da der Hersteller sie durchweg als "Important" bis "Critical" einstuft.

Die Lücken, die durch die Updates geschlossen wurden, könnten laut Adobe unter anderem zur Rechteerweiterung sowie zum Ausführen beliebigen Codes im Kontext des aktuell angemeldeten Nutzers missbraucht werden.

Kritische Lücken in Acrobat, Brackets und Photoshop

Recht umfangreiche Listen kritischer Sicherheitslücken führt Adobe in seinen Security Advisories zu Acrobat und Reader (Advisory APSB19-55), Brackets (Advisory APSB19-57) sowie Photoshop (Advisory APSB19-56) auf.

Verwundbar sind demnach einige Produkte aus den Acrobat-/Reader-Versionsreihen DC, 2015 und 2017 (Windows und macOS), alle Brackets-Versionen bis einschließlich 1.14 (Windows, Linux und macOS) sowie Photoshop CC (20.0.7 und früher sowie 21.0.1 und früher) für Windows und macOS. Updatehinweise nebst Download-Links sind den Advisories zu entnehmen.

Update 7 bringt mehr Sicherheit für ColdFusion

Nicht kritisch, aber immerhin wichtig ist das im Advisory APSB19-58 beschriebene Update für ColdFusion. Von der darin aufgeführten Schwachstelle betroffen ist ColdFusion2018 bis inklusive Update 6 für alle unterstützten Plattformen. Das Update 7 behebt sie.

Quelle : www.heise.de
Titel: Patchday: Wichtige Sicherheitsupdates für Illustrator und Experience Manager
Beitrag von: SiLæncer am 15 Januar, 2020, 12:48
Achtung: Angesichts mehrerer kritischer Lücken in Illustrator CC 2019 und wichtiger Updates für AEM sollten Nutzer ihre Software zügig aktualisieren.

um Patch Tuesday hat Adobe Sicherheitsupdates veröffentlicht, die mehrere Lücken in Illustrator CC für Windows sowie in der Content-Management-Lösung Experience Manager (AEM) für alle Plattformen schließen.

Mehrere kritische Lücken in Illustrator CC 2019

Vor allem Illustrator-Nutzer sollten zügig, updaten, da Angreifer insgesamt fünf kritische Lücken (CVE-2020-3710, CVE-2020-3711, CVE-2020-3712, CVE-2020-3713, CVE-2020-3714) in der Software missbrauchen könnten, um beliebigen Code im Kontext des angemeldeten Nutzers auszuführen. In einem Security Advisory zu Illustrator gibt Adobe an, dass alle Versionen von Illustrator CC 2019 bis einschließlich Version 24.0 verwundbar seien.

Updates können Nutzer wie gewohnt über die Creative-Cloud-Updatefunktion abrufen.

Wichtige Updates auch für AEM

Aber auch AEM-Anwender sollten das Aktualisieren ihrer Software nicht allzu lange aufschieben. Vier Sicherheitslücken, von denen drei als "Important" (CVE-2019-16466, CVE-2019-16467, CVE-2019-16469) und eine als "Moderate" (CVE-2019-16468) eingestuft wurden, könnten es Angreifern unter bestimmten Voraussetzungen ermöglichen, sensible Informationen abzugreifen.

Grundsätzlich angreifbar sind laut Adobes Advisory zu AEM Versionen ab 6.0 bis einschließlich 6.5. Welche Version welche Lücke(n) aufweist, ist dem Advisory zu entnehmen – ebenso wie die Download-Links zu den jeweiligen Updates.

Quelle : www.heise.de
Titel: Patchday: Kritische Lücken in Adobe Framemaker, Reader & Co.
Beitrag von: SiLæncer am 12 Februar, 2020, 12:49
Es gibt wichtige Sicherheitsupdates für viele Adobe-Produkte. Der Großteil der Lücken gilt als kritisch.

An diesem Patchday verarztet Adobe seine Software Acrobat und Reader, Digital Editions, Experience Manager, Flash und Framemaker. In den meisten Fällen könnten Angreifer Computer direkt über das Internet attackieren. Weitere Infos zu den Sicherheitslücken findet man in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Die meisten als "kritisch" eingestuften Schwachstellen betreffen Framemaker. 21 Stück sind es an der Zahl. Alle sind Schlupflöcher für Schadcode. Abgesichert ist die Version 2019.0.5. Alle vorigen Ausgaben sind Adobe zufolge bedroht.

Auch die Schwachstellen in Acrobat und Reader könnten Angreifer als Schlupfloch für Schadcode missbrauchen. Die folgenden Versionen hat Adobe gepatcht:

    Acrobat 2015 2015.006.30510
    Acrobat 2017 2017.011.30158
    Acrobat DC 2020.006.20034
    Acrobat Reader 2015 2015.006.30510
    Acrobat Reader 2017 2017.011.30158
    Acrobat Reader DC 2020.006.20034

Digital Editions ist über zwei Sicherheitslücken attackierbar. Hier könnten Angreifer Informationen leaken und ebenfalls Schadcode ausführen. Repariert ist die Ausgabe 4.5.11. Flash Player kämpft mit einer Schwachstelle, die als kritisch gilt. Abgesichert ist die Version 32.0.0.330 für Chrome OS, Linux, macOS und Windows.

Erste Patches für aufgekauftes Produkt

Nun sind die ersten Sicherheitspatches im Namen von Adobe für die Onlineshop-Software Magento erschienen. Der Softwarehersteller hat das Shopsystem im Mai 2018 für rund 1,7 Milliarden US-Dollar aufgekauft.

Auch hier gilt der Großteil der Lücken als kritisch. Nach einer erfolgreichen Attacken könnten Angreifer auf eigentlich abgeschottete Informationen zugreifen oder Schadcode ausführen. Abgesichert sind folgende Versionen:

    Magento Commerce 2.2.11
    Magento Commerce 2.3.4
    Magento Community Edition 1.9.4.4
    Magento Enterprise Edition 1.14.4.4
    Magento Open Source 2.2.11
    Magento Open Source 2.3.4

Setzen Angreifer an der Experience-Manager-Lücke an, könnten sie eine DoS-Attacke starten. Adobe hat die Schwachstelle in den Versionen 6.4 und 6.5 geschlossen.

    Acrobat and Reader
    Digital Editions
    Experience Manager
    Flash Player
    Framemaker
    Magento

Quelle : www.heise.de
Titel: Patchday Adobe: Angreifer könnten Anwendungen abschießen und Daten leaken
Beitrag von: SiLæncer am 15 April, 2020, 13:04
Es gibt wichtige Sicherheitsupdates für verschiedene Kreativ-Software von Adobe. Es gibt wichtige Sicherheitsupdates für verschiedene Kreativ-Software von Adobe.

Wer Adobes After Effects, ColdFusion oder Digital Editions nutzt, sollte die Anwendungen aus Sicherheitsgründen auf den aktuellen Stand bringen. Die durchweg als "wichtig" eingestuften Updates schließen insgesamt fünf Sicherheitslücken.

Sicherheitsupdates jetzt installieren

Die Composing-Software After Effects ist unter macOS und Windows attackierbar. Setzen Angreifer erfolgreich an der Schwachstelle (CVE-2020-3809) an, könnten sie gemäß einer Warnmeldung auf nicht näher beschriebene Informationen im Kontext das aktuellen Nutzer zugreifen. After Effects 17.0.6 ist abgesichert.

Durch ein erfolgreiches Ausnutzen der Lücken (CVE-2020-3767, CVE-2020-3768, CVE-2020-3796) in der Datenbank-Anwendung ColdFusion könnten Angreifer beispielsweise die Anwendung via DoS-Attacke schachmatt setzen oder sich höhere Nutzerrechte aneignen. Einer Meldung von Adobe zufolge, sind davon alle Plattformen betroffen. Die Ausgaben ColdFusion 2016 Update 15 und ColdFusion 2018 Update 9 sind repariert.

Die E-Book-Software Digital Editions ist über eine Sicherheitslücke (CVE-2020-3798) unter Windows angreifbar, führt Adobe in einem Beitrag aus. Auch hier könnten Informationen leaken. Abgesichert ist die Digital-Editions-Ausgabe 4.5.11.187303.

Quelle : www.heise.de
Titel: Patchday: Adobe kümmert sich um kritische Lücken in Acrobat und Reader
Beitrag von: SiLæncer am 13 Mai, 2020, 12:40
Es gibt wichtige Sicherheitsupdates für die PDF-Anwendungen Acrobat und Reader. Auch das Adobe DNG SDK wurde abgesichert.

Computer mit Adobe Acrobat und Reader und DNG Software Development Kit (SDK) sind über kritische Sicherheitslücken attackierbar. Patches stehen zum Download bereit.

Von den Schwachstellen in Acrobat und Reader sind macOS- und Windows-Computer bedroht. Setzen Angreifer erfolgreich an den Lücken an, könnten sie Anwendungen per DoS-Attacke abstürzen lassen, Informationen leaken oder sogar Schadcode ausführen. Wie Angriffe ablaufen könnten, führt Adobe derzeit nicht aus. Die abgesicherten Versionen listet der Softwarehersteller in einer Warnmeldung auf. Die Updates sollten sich automatisch installieren.

Von den DNG-SDK-Lücken sind einem Beitrag von Adobe zufolge ausschließlich Windows-Computer gefährdet. Auch hier könnten Angreifer eigenen Code ausführen oder auf eigentlich abgeschottete Informationen zugreifen. Die Entwickler geben an, dass die Version 1.5.1 repariert ist. Alle vorigen Ausgaben sollen verwundbar sein.

Quelle : www.heise.de
Titel: Patchday: Adobe doktort weiter an Flash rum
Beitrag von: SiLæncer am 10 Juni, 2020, 12:38
Der Flash Player ist mal wieder über eine kritische Sicherheitslücke attackierbar. Außerdem gibt es Updates für Framemaker und Experience Manager.

Adobe, Flash, Sicherheitsupdates - diese Begriffe sind untrennbar miteinander verbunden. Nun ist es mal wieder soweit und Adobe schließt eine "kritische" Lücke im Flash Player. Erfolgreiche Attacken öffnen Schadcode Tür und Tor.

Von der Sicherheitslücke (CVE-2020-9633) sind Chrome OS, Linux, macOS und Windows bedroht. Ob Attacken aus der Ferne und ohne Authentifizieren möglich sind, geht aus einer Warnmeldung von Adobe nicht hervor. Aufgrund der kritischen Einstufung ist aber davon auszugehen.

Die auf der Downloadseite verfügbare Flash-Version 32.0.0.387 ist abgesichert. Alle vorigen Ausgaben sollen verwundbar sein. Chrome aktualisiert den Flash Player automatisch. Unter Windows 8.1 und 10 ist das auch bei Edge und Internet Explorer der Fall.

Ein lang gehegter Traum geht in Erfüllung: Ende 2020 ist endlich Schluss mit der ausufernden Flash-Patcherei. Dann stellt Adobe den Support ein und veröffentlicht keine Updates mehr. In vielen Webbrowser ist das Plugin schon seit Monaten standardmäßig deaktiviert.

Noch mehr Sicherheitsupdates

Adobe Framemaker für Windows ist über drei als kritische eingestufte Sicherheitslücken (CVE-2020-9634, CVE-2020-9635, CVE-2020-9636) attackierbar. Hier kann ebenfalls Schadcode auf Computer gelangen. Die Entwickler haben die Schwachstellen in der Ausgabe 2019.0.6 geschlossen. Alle vorigen Ausgaben sind Adobe zufolge angreifbar.

Experience Manager ist unter allen Plattformen über sechs Lücken angreifbar. In einer Warnmeldung von Adobe findet man weitere Infos zu den Schwachstellen und reparierten Versionen. Die Patches bewertet Adobe als "wichtig". Klappen Attacken, könnten Angreifer Informationen leaken oder JavaScript im Browser ausführen.

Quelle : www.heise.de
Titel: Patchday: Security-Updates von Adobe mit hohen bis kritischen Risikoeinstufungen
Beitrag von: SiLæncer am 15 Juli, 2020, 12:40
Updates für Creative Cloud Desktop Application, ColdFusion, Download Manager, Genuine Service und Media Encoder schließen Lücken von "Important" bis "Critical".

Zum Patch Tuesday im Juli hat Adobe insgesamt 13 Sicherheitslücken aus Creative Cloud Desktop Application, ColdFusion, Download Manager, Genuine Service und Media Encoder beseitigt. Vier Lücken gelten als kritisch, der Schweregrad der übrigen wurde als "hoch" eingestuft. Aktive Exploits der will Adobe bislang nicht beobachtet haben; dennoch sollten Windows, Linux- und macOS-User die jeweils für sie verfügbaren Updates möglichst zeitnah einspielen.

Vier kritische Sicherheitslücken in Windows-Ausgaben

Zwei der kritischen Lücken (CVE-2020-9646 und CVE-2020-9650) betreffen den Adobe Media Encoder unter Windows bis einschließlich Version 14.2. Sie könnten unter bestimmten Voraussetzungen zur Ausführung beliebigen Codes missbraucht werden. Dasselbe Angriffsszenario ermöglicht die kritische Sicherheitslücke CVE-2020-9688 in Version 2.0.0.518 des Download Managers für Windows.

Auch die vierte Lücke mit "Critical"-Einstufung, CVE-2020-9682 in der Creative Cloud Desktop Application bis einschließlich Version 5.1, betrifft auschließlich Windows-Systeme. Angreifer könnten schreibend aufs Dateisystem zugreifen. Details zu den (teils auch für macOS verfügbaren) Software-Updates nennen die Advisories:

    Adobe Media Encoder | APSB20-36
    Adobe Download Manager | APSB20-49
    Adobe Creative Cloud Desktop Application | APSB20-33

Weitere Updates für alle Plattformen

Von zwei Sicherheitslücken mit "Important"-Einstufung in Genuine Service bis einschließlich Version 6.6 sind Windows- und macOS-Systeme gleichermaßen betroffen. Über sie könnten Angreifer im Kontext des aktuellen Nutzers ihre Rechte auf verwundbaren Systemen ausweiten (Privilege Escalation).

Die ColdFusion-Updates zum Patchday betreffen alle Plattformen. Sie schützen ColdFusion 2016 bis einschließlich Update 15 und ColdFusion 2018 bis einschließlich Update 9 vor einer möglichen Privilege Escalation.

    Adobe Genuine Service | APSB20-42
    Adobe ColdFusion | APSB20-43

Quelle : www.heise.de
Titel: Patchday Adobe: Wichtige Updates für Acrobat, Reader und Lightroom
Beitrag von: SiLæncer am 12 August, 2020, 08:44
Einen eher kleinen Patchday gab es diesmal bei Adobe. Wichtig sind die verfügbaren Updates aber dennoch: Sie schließen mehrere kritische Lücken.

Zum Patchday hat Adobe diesmal lediglich zwei Produkte, nämlich Acrobat und Reader und den Foto-Editor Lightroom für Windows und macOS, mit Sicherheitsupdates bedacht. Nutzer dieser Produkte sollten dennoch zeitnah updaten: Im Security Bulletin zu Adobe und Reader sind CVE-Nummern zu 26 Lücken aufgeführt, von denen 11 die Einstufung "Critical" aufweisen. Alle übrigen – auch die Lücke in Lightroom – hat der Hersteller immerhin mit "Important" bewertet.

Updates für Acrobat und Reader

Die kritischen Sicherheitslücken in Acrobat und Reader könnten unter anderem missbraucht werden, um Sicherheitsmechanismen zu umgehen und beliebigen Code im Kontext des derzeit angemeldeten Nutzers auszuführen. Lücken mit "Important"-Einstufungen ermöglichen Angreifern zudem das Erlangen sensibler Informationen, Privilegienausweitung sowie das Provozieren eines Denial-of-Service (Absturz) der Anwendung. Mindestens einige der Lücken sind aus der Ferne ausnutzbar.

Betroffen sind Acrobat DC und Acrobat Reader DC in allen Versionen bis einschließlich 2020.009.20074 sowie die "Classic"-Ausgaben von

    Acrobat und Acrobat Reader 2015 bis einschließlich Version 2015.006.30523 ,
    Acrobat und Acrobat Reader 2017 bis einschließlich Version 2017.011.30171 und
    Acrobat und Acrobat Reader 2020 bis einschließlich Version 2020.001.30002.

Informationen und Links zu den verfügbaren abgesicherten Versionen sind dem Security Bulletin APSB20-48 zu entnehmen.

Aktualisierung für Lightroom

Anders als im Falle von Adobe und Reader sind über die als "Important" eingestufte Sicherheitslücke CVE-2020-9724 in Lightroom nur Windows-, nicht aber macOS-Systeme angreifbar. Betroffen sind Lightroom Classic-Versionen bis einschließlich 9.2.0.10. Die Lücke erlaubt hier unter bestimmten Voraussetzung die Rechtausweitung im Kontext des aktuellen Benutzers.

Weitere Details zu Angriffsmöglichkeiten nennt das Security Bulletin APSB20-51 leider nicht. Die neue Lightroom-Version 9.3, die gleichermaßen für Windows und macOS verfügbar ist, beseitigt die Lücke. Sie steht für registrierte Nutzer in Adobes Download-Center bereit.

Quelle : www.heise.de
Titel: Patchday: Adobe schließt kritische Schadcode-Lücken in InDesign & Co.
Beitrag von: SiLæncer am 09 September, 2020, 12:42
Es gibt wichtige Sicherheitsupdates für Experience Manager, Framemaker und InDesign.

Angreifer könnten Computer mit Software von Adobe attackieren und Schadcode mit den Rechten des Opfers ausführen. Gelingt eine Attacke auf ein Opfer mit Admin-Rechten, gilt ein Computer als vollständig kompromittiert. Sicherheitsupdates sind verfügbar.

Der Bedrohungsgrad der meisten Sicherheitslücken gilt als "kritisch". Wie Angriffsszenarien auf Experience Manager, Framemaker und InDesign aussehen könnten, führt Adobe in den Sicherheitswarnungen nicht aus.

Abgesichert sind Adobe Experience Manager (AEM) 6.4.8.2, 6.5.6.0 und AEM Forms Service Pack 6 für alle Plattformen, Framemaker 2019.0.7 unter Windows und InDesign 15.1.2 unter macOS und Windows.

Quelle : www.heise.de
Titel: Patchday Adobe: Kurz und schmerzlos
Beitrag von: SiLæncer am 11 November, 2020, 10:20
Es gibt wichtige Sicherheitsupdates für Adobe Connect und Reader Mobile.

Angreifer könnten Computer mit Adobe Connect attackieren und eigenen Code im Browser ausführen. Reader Mobile könnte Informationen leaken.

Das Update für die Lücken (CVE-2020-24442, CVE-2020-24443) ist als "wichtig" eingestuft. Durch eine erfolgreiche XSS-Attacke (reflected) könnten Angreifer JavaScript im Browser von Opfern ausführen. Davon sind alle Plattformen betroffen. Adobe Connect 11.0.5 ist dagegen abgesichert. Alle vorigen Ausgaben sind einer Warnmeldung von Adobe zufolge bedroht.

Von der Schwachstelle (CVE-2020-24441) in Adobe Reader Mobile sind alle Android-Versionen betroffen. Abgesichert ist die Ausgabe 20.9.0.
Vorgezogener Patchday

Mehrere kritische Sicherheitslücken in Acrobat und Reader hat Adobe bereits Anfang November in Form von Notfall-Patches geschlossen.

Quelle : www.heise.de
Titel: Patchday: Adobe nimmt fast durchweg kritische Sicherheitslücken ins Visier
Beitrag von: SiLæncer am 13 Januar, 2021, 12:10
Kritische Lücken wurden unter anderem aus Photoshop, Illustrator, Animate und Bridge beseitigt. Der Flash Player hat endgültig den Dienst quittiert.

Zum ersten Patchday dieses Jahres hat Adobe kritische Sicherheitslücken in Animate, Bridge Campaign Classic, Illustrator, InCopy und Photoshop geschlossen. Auch einer Lücke mit "Important"-Einstufung in Captivate wurde der Garaus gemacht. Produkt-Updates stehen gleichermaßen für die Plattformen Windows, macOS und Linux bereit. Adobe empfiehlt Nutzern, sie angesichts des hohen Schweregrads der Sicherheitslücken zeitnah einspielen.

Codeausführung und Zugriff auf sensible Daten

Wie gewohnt gehen Adobes Security Bulletins mit Informationen zu den Sicherheitslücken recht sparsam um: Die meisten der kritischen Lücken könnten unter bestimmten Voraussetzungen missbraucht werden, um auf nicht näher bezeichneten Angriffswegen beliebigen Programmcode im Kontext des angemeldeten Benutzers auszuführen. Eine Ausnahme bildet Campaign Classic: Hier kann die Sicherheitslücke das Abgreifen sensibler Daten ermöglichen.

Das potenzielle Einfallstor in Adobe Captivate mit "Important"-Einstufung könnten Angreifer missbrauchen, um ihre Zugriffsrechte auszuweiten.

Sicherheitslücken & Updates im Überblick

Detaillierte Informationen zu verwundbaren und abgesicherten Programmversionen sind den Security Bulletins zu entnehmen, die wir nachfolgend nebst CVE-IDs aufgelistet haben:

    Adobe Animate | APSB21-03 (CVE-2021-21008, Critical)
    Adobe Campaign Classic | APSB21-04 (CVE-2021-21009, Critical)
    Adobe Captivate | APSB21-06 (CVE-2021-21011, Important)
    Adobe Illustrator | APSB21-02 (CVE-2021-21007, Critical)
    Adobe InCopy | APSB21-05 (CVE-2021-21010, Critical)
    Adobe Photoshop | APSB21-01 (CVE-2021-21006, Critical)
    Adobe Bridge | APSB21-07 (CVE-2021-21012 & CVE-2021-21013, Critical)

Flash Player blockt künftig Flash

Das End-of-Life von Adobes Flash Player wurde bereits 2017 angekündigt, der Support am 31.12.2020 beendet. Künftig wird der Player zusätzlich den Dienst verweigern, sofern er noch immer nicht deinstalliert wurde: Auf der "Adobe Flash Player EOL General Information Page" ist zu lesen, dass seit dem gestrigen Dienstag Flash-Content im Flash Player aus Sicherheitsgründen grundsätzlich blockiert wird.

Höchste Zeit also, dieses Relikt aus früheren Zeiten vom System zu entfernen. Wie das geht und welche Alternativen es gibt, verrät unter anderem unsere FAQ zum Thema.

Quelle : www.heise.de
Titel: Patchday: Adobe verteilt Sicherheitsupdates gegen teils kritische Lücken
Beitrag von: SiLæncer am 14 April, 2021, 11:19
Aus Adobe Photoshop, Digital Editions & Bridge (Windows, macOS) wurden kritische Sicherheitslücken entfernt. Auch RoboHelp für Win bekam ein wichtiges Update.

Für Adobe Photoshop, Digital Editions und Bridge (Windows, macOS) sowie für die Windows-Ausgabe von RoboHelp, einem Hilfstool für technischen Content, stehen wichtige Sicherheitsupdates bereit. Einige Versionen der drei erstgenannten Produkte weisen kritische Sicherheitslücken auf, die mit den Updates geschlossen wurden; aus RoboHelp wurde eine Lücke mit "Important"-Einstufung entfernt.

Mögliche Folgen eines Angriffs auf die Lücken wären die beliebige Codeausführung im Kontext des aktuellen Nutzers (Photoshop, Bridge), freier Schreibzugriff auf das macOS-Dateisystem ("arbitrary file system write", Digital Editions) oder die Ausweitung von Nutzerprivilegien auf Windows-Systemen (RoboHelp). Adobe Bridge weist im Gegensatz zu den anderen Produkten nicht nur eine, sondern gleich sechs Schwachstellen auf, von denen zwei als "Important" und vier als kritisch bewertet wurden.
Bislang noch keine Angriffe

Mit Schwachstellen-Details hält sich Adobe in den veröffentlichten Security Advisories wie gewohnt zurück. Laut Trend Micros Zero Day Initiative (ZDI), über die das Responsible-Disclosure-Verfahren für mehrere der Schwachstellen lief, ist allerdings für keine der Sicherheitslücken Exploit-Code öffentlich bekannt, so dass bislang auch noch keine Angriffe in freier Wildbahn beobachtet wurden.

Da sich dies natürlich jederzeit ändern kann, sollten Nutzer der betreffenden Adobe-Produkte diese dennoch zügig aktualisieren. Details zu verwundbaren und abgesicherten Versionen sowie Links zu den verfügbaren Updates nennen die folgenden Advisories:

    Security Updates for Adobe Bridge | APSB21-23
    Security Updates for Adobe Digital Editions | APSB21-26
    Security updates for Adobe Photoshop | APSB21-28
    Security update available for RoboHelp | APSB21-20
    heise online-Themenseite zu Adobe

Quelle : www.heise.de
Titel: Adobe-Patchday: Attacken auf Adobe Acrobat und Reader
Beitrag von: SiLæncer am 12 Mai, 2021, 10:45
Adobe hat Sicherheitsupdates für verschiedene Anwendungen veröffentlicht. Vor allem Nutzer von Acrobat und Reader sollten die Patches zügig installieren.

Derzeit haben es Angreifer auf eine Sicherheitslücke in Adobe Acrobat und Reader abgesehen. Außerdem gibt es noch Sicherheitspatches für After Effects, Animate, Creative Cloud, Experience Manager, Genuine Service, Illustrator, InCopy, InDesign, Magento, Media Manager und Medium.

Der ganze Artikel (https://www.heise.de/news/Patchday-Attacken-auf-Adobe-Acrobat-und-Reader-6044528.html)

Quelle : www.heise.de
Titel: Patchday: Adobe patcht Acrobat, Photoshop, Premiere, Creative Cloud, usw.
Beitrag von: SiLæncer am 09 Juni, 2021, 10:41
Adobe patcht sich durch sein Portfolio: Angreifer könnten u.a. Schadcode auf Computer mit verwundbaren Versionen von After Effects und Photoshop schieben.

Am Patchday im Juni hat Adobe wichtige Sicherheitsupdates für Acrobat und Reader, After Effects, Animate, Connect, Creative Cloud Desktop Application, Experience Manager, Photoshop, Photoshop Elements, Premiere Elements und RoboHelp Server veröffentlicht. Viele Lücken hat Adobe mit den Schweregrad "kritisch" eingestuft.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-patcht-Acrobat-Photoshop-Premiere-Creative-Cloud-usw-6066073.html?)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt kritische Lücken in Bridge, Illustrator & Co.
Beitrag von: SiLæncer am 14 Juli, 2021, 10:36
Es gibt wichtige Sicherheitsupdates für verschiedene Adobe-Anwendungen. Angreifer könnten Schadcode ausführen.

Adobe hat mehrere Schwachstellen in Acrobat und Reader, Bridge, Dimension, Framemaker und Illustrator geschlossen. Den Großteil der Lücken hat der Software-Hersteller als "kritisch" eingestuft.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-schliesst-kritische-Luecken-in-Bridge-Illustrator-Co-6137110.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt kritische Lücken in Magento-Shops
Beitrag von: SiLæncer am 11 August, 2021, 10:45
Mehrere Sicherheitsupdates schützen Onlineshops auf Magento-Basis vor möglichen Attacken. Außerdem wurde Adobe Connect abgesichert.

Angreifer könnten mit Adobes Magento-Software erstellte Onlineshops attackieren und Schadcode ausführen. Die Software für Remote-Schulungen Connect ist ebenfalls verwundbar. Updates lösen die Sicherheitsprobleme.

Wie aus einer Warnmeldung von Adobe hervorgeht, ist der Großteil der Magento-Lücken mit dem Bedrohungsgrad „kritisch“ eingestuft. Insgesamt haben die Entwickler zehn Sicherheitslücken geschlossen. Nach erfolgreichen Attacken könnten Angreifer Sicherheitsmechanismen umgehen und Schadcode ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Shops im Anschluss vollständig kompromittiert sind.

Von den Schwachstellen sind alle Plattformen betroffen. Die folgenden Ausgaben sind gegen die Attacken gewappnet: Magento Commerce und Magento Open Source 2.3.7-p1, 2.4.2-p2, 2.4.3.

Remote Code Execution

Zwei Sicherheitslücken (CVE-2021-36062 "mittel", CVE-2021-36063, "mittel") in Adobe Connect können ebenfalls Schlupflöcher für Schadcode sein. Auch hier sind alle Plattformen betroffen. Adobe Connect 11.2.3 ist gegen solche Attacken abgesichert.

Quelle : www.heise.de
Titel: Adobe sichert Photoshop & Co. außer der Reihe ab
Beitrag von: SiLæncer am 18 August, 2021, 09:15
Der Softwarehersteller Adobe schließt unter anderem in Bridge, Media Encoder und XMP Toolkit SDK Sicherheitslücken.

Wer Anwendungen von Adobe nutzt, sollte aus Sicherheitsgründen darauf achten, dass die aktuellen Versionen installiert sind. Patches sind für Bridge, Captivate, Media Encoder, Photoshop und XMP Toolkit SDK verfügbar. In den meisten Fällen stuft der Softwarehersteller die Bedrohung als "kritisch" ein.

Normalerweise veröffentlicht Adobe nur einmal im Monat gesammelt Sicherheitsupdates. Offensichtlich sind die Schwachstellen so gefährlich, dass eine Veröffentlichung nicht warten kann. Von den Lücken sind macOS und Windows betroffen.

Der ganze Artikel (https://www.heise.de/news/Adobe-sichert-Photoshop-Co-ausser-der-Reihe-ab-6168132.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt Schadcode-Lücken in Photoshop & Co.
Beitrag von: SiLæncer am 15 September, 2021, 10:45
Zitat
Es sind wichtige Sicherheitsupdates für verschiedene Anwendungen von Adobe erschienen. Der Softwarehersteller stuft viele Schwachstellen als kritisch ein.

Am Patchday im September schließt Adobe gefährliche Sicherheitslücken in unter anderem Acrobat und Reader, ColdFusion, Digital Editions, InCopy und Photoshop. In den meisten Fällen könnten entfernte Angreifer an den "kritischen" Schwachstellen ansetzen und darüber Schadcode auf Computer schieben.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-schliesst-Schadcode-Luecken-in-Photoshop-Co-6192382.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt kritische Schadcode-Lücken
Beitrag von: SiLæncer am 13 Oktober, 2021, 11:15
Angreifer könnten unter anderem Adobe Reader und Commerce attackieren. Sicherheitsupdates schaffen Abhilfe.

Wichtige Sicherheitspatches im Oktober schließen mehrere Lücken im Software-Portfolio von Adobe. Einige Schwachstellen sind als "kritisch" eingestuft.

So eine Lücke (CVE-2021-40744) betrifft etwa Campaign Standard unter Linux und Windows. Nach erfolgreichen Attacken könnte Code von Angreifern auf Computern landen. Adobe gibt an, die Version 21.3.1 dagegen gerüstet zu haben.

Noch mehr Remote Code Execution

Adobe ops-cli ist ebenfalls von einer Schadcode-Lücke betroffen. Für alle Plattformen ist die abgesicherte Ausgabe 2.0.5 erschienen. Wer Connect nutzt, sollte die gegen Remote-Code-Execution-Attacken geschützte Version 11.2.3 installieren.

Durch mehrere Schwachstellen in Acrobat und Reader könnten ebenfalls Schadcode auf Computer gelangen. Für macOS und Windows sind reparierte Ausgaben Acrobat DC 21.007.20099, Acrobat 2020 20.004.30017 und Acrobat 2017 17.011.30204 erschienen. Für Android gibt es die aktuelle Version 21.9.0.

Durch das erfolgreiche Ausnutzen einer Sicherheitslücke in Commerce könnten Angreifer Sicherheitsmechanismen umgehen. Abhilfe schaffen hier Commerce und Magento Open Source 2.4.3-p1 und 2.3.7-p1.

Quelle : www.heise.de
Titel: Patchday: Adobe schließt Schadcode-Lücken in InCopy und RoboHelp Server
Beitrag von: SiLæncer am 10 November, 2021, 10:15
Wer Anwendungen von Adobe nutzt, sollte aus Sicherheitsgründen die aktuellen Sicherheitsupdates installieren.

Angreifer könnten Adobe Creative Cloud, InCopy und RoboHelp Server attackieren. Klappt das, könnte im schlimmsten Fall Schadcode auf Computer gelangen.

Adobe stuft den Schweregrad von zwei Lücken als "kritisch" ein. Wie Angriffe im Detail aussehen könnten, geht aus den Warnmeldungen nicht hervor.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-schliesst-Schadcode-Luecken-in-InCopy-und-RoboHelp-Server-6263083.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt kritische Lücken in Experience Manager & Co.
Beitrag von: SiLæncer am 15 Dezember, 2021, 09:15
Es gibt wichtige Sicherheitsupdates für verschiedene Anwendungen von Adobe. In einigen Fällen könnten Angreifer Schadcode auf Computern ausführen.

Adobe hat gegen verschiedene Attacken gerüstete Versionen von Audition, After Effects, Connect, Dimension, Experience Manager, Lightroom, Media Encoder, Prelude, Photoshop und Premiere Pro veröffentlicht. Viele Sicherheitslücken sind als „kritisch“ eingestuft.

Setzen Angreifer erfolgreich an den Lücken in Experience Manager an, könnten sie Schadcode ausführen. Davon sind alle Systeme bedroht. Die Version 6.5.11.0 soll abgesichert sein. Mehrere kritische Schwachstellen in Premiere Rush könnten ebenfalls als Schlupfloch für Schadcode dienen. Hier soll die Ausgabe 2.0 für macOS und Windows Abhilfe schaffen.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-schliesst-kritische-Luecken-in-Experience-Manager-Co-6295316.html)

Quelle : www.heise.de
Titel: Patchday Adobe: Acrobat und Reader bekommen jede Menge Sicherheitsupdates
Beitrag von: SiLæncer am 12 Januar, 2022, 10:49
Angreifer könnten auf Computern mit Adobe-Anwendungen Schadcode platzieren. Dagegen abgesicherte Versionen schaffen Abhilfe.

Der Software-Hersteller Adobe hat mehrere gefährliche Sicherheitslücken in Acrobat und Reader, Bridge, Illustrator, InCopy und InDesign geschlossen. Im schlimmsten Fall könnten Angreifer eigenen Code auf Systemen ausführen und so unter Umständen die volle Kontrolle erlangen.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-Acrobat-und-Reader-bekommen-jede-Menge-Sicherheitsupdates-6323723.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt Schadcode-Lücken in Illustrator
Beitrag von: SiLæncer am 09 Februar, 2022, 11:10
Die Entwickler von Adobe haben ihr Software-Portfolio gegen mögliche Attacken abgesichert.

Am Patchday im Februar hat Adobe wichtige Sicherheitsupdates für After Effects, Creative Cloud Desktop, Illustrator, Photoshop und Premiere Rush veröffentlicht. Einige Lücken stuft der Software-Hersteller als "kritisch" ein.

Wie aus einem Beitrag hervorgeht, haben die Entwickler in Illustrator die meisten Sicherheitslücken geschlossen. Setzen Angreifer an den 13 Lücken erfolgreich an, könnten sie im schlimmsten Fall Schadcode ausführen. Das führt in der Regel zu einer vollständigen Kompromittierung eines Systems. Adobe gibt an, die Sicherheitsprobleme in Illustrator 2021 25.4.4 und Illustrator 2022 26.0.3 für macOS und Windows gelöst zu haben.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-schliesst-Schadcode-Luecken-in-Illustrator-6360575.html)

Quelle : www.heise.de
Titel: Patchday Adobe: Kritische Lücken in Illustrator und Photoshop geschlossen
Beitrag von: SiLæncer am 09 März, 2022, 09:55
Angreifer könnten Computer mit Adobe Anwendungen attackieren. Sicherheitsupdates sind verfügbar.

Am Patchday im März hat Adobe After Effects, Illustrator oder Photoshop gegen mögliche Attacken abgesichert. Davon sind die Versionen für macOS und Windows betroffen.

Die vier in After Effects geschlossenen Sicherheitslücken stuft Adobe in einer Warnmeldung als "kritisch" ein. Hier könnten Angreifer auf nicht näher beschriebenen Wegen Speicherfehler auslösen und so Schadcode auf Systeme schieben und ausführen. Dagegen sollen die Ausgaben 18.4.5 und 22.2.1 gerüstet sein.

Auch Illustrator 2022 kann Schadcode auf Computer durchlassen (CVE-2022-23187 "hoch"). Hier schafft die Version 26.1.0 Abhilfe. In Photoshop 2021 22.5.6 und Photoshop 2022 23.2 haben die Entwickler ein Datenleck geschlossen (CVE-2022-24090 "mittel").

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-Kritische-Luecken-in-Illustrator-und-Photoshop-geschlossen-6543669.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt jede Menge PDF-Lücken in Acrobat und Reader
Beitrag von: SiLæncer am 13 April, 2022, 13:02
Der Softwarehersteller Adobe hat mehrere Sicherheitsupdates für Acrobat und Reader, After Effects, Commerce und Photoshop veröffentlicht.

Angreifer könnten Computer mit Anwendungen von Adobe attackieren und unter Umständen eigenen Code auf Systemen ausführen. So etwas führt in der Regel zur vollständigen Kompromittierung von Computern. Dagegen abgesicherte Versionen stehen zum Download bereit.

Wie man einer Warnmeldung entnehmen kann, betreffen die meisten Sicherheitslücken Acrobat und Reader. Der Großteil ist mit dem Bedrohungsgrad "hoch" eingestuft. In den meisten Fällen könnten Angreifer Speicherfehler provozieren und darüber Schadcode ausführen. Wie so ein Angriff aussehen könnte, führt Adobe derzeit nicht aus.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-schliesst-jede-Menge-PDF-Luecken-in-Acrobat-und-Reader-6670412.html)

Quelle : www.heise.de
Titel: Patchday Adobe: Schadcode-Lücken bedrohen ColdFusion, InDesign & Co.
Beitrag von: SiLæncer am 11 Mai, 2022, 11:00
Es gibt wichtige Sicherheitsupdates für Anwendungen von Adobe. Den Großteil der Lücken stuft der Software-Hersteller als kritisch ein.

Wer Adobe-Software nutzt, sollte Character Animator, ColdFusion, Framemaker, InCopy und InDesign aus Sicherheitsgründen auf den aktuellen Stand bringen. In vielen Fällen könnten Angreifer Schadcode auf Computer schieben und ausführen.

Sicherheitsupdates installieren

In Framemaker hat Adobe insgesamt neun Schadcode-Lücken geschlossen. Der Software-Hersteller gibt in einer Warnmeldung an, die Schwachstellen in den Windows-Versionen 2019 Update 8 (hotfix) und 2020 Update 4 (hotfix) beseitigt zu haben.

InDesign und InCopy sind unter macOS und Windows von Schadcode-Attacken bedroht. Hier sollen die Versionen 16.4.2 und 17.2 Abhilfe schaffen. Character Animator 2021 4.4.7 und Character Animator 2022 22.4 für macOS und Windows bringen Rüstzeug gegen mögliche Attacken mit.

ColdFusion ist unter allen Plattformen bedroht. ColdFusion 2018 Update 14 und ColdFusion 2021 Update 4 sind abgesichert.

Quelle : www.heise.de
Titel: Patchday Adobe: Schadcode-Lücken in InDesign, Illustrator & Co. geschlossen
Beitrag von: SiLæncer am 15 Juni, 2022, 10:45
Mehrere Adobe-Anwendungen sind über als kritisch eingestufte Schwachstellen attackierbar. Sicherheitsupdates schaffen Abhilfe.

Wer Anwendungen von Adobe nutzt, sollte diese aus Sicherheitsgründen auf den aktuellen Stand bringen. Die meisten Lücken stuft der Softwarehersteller als "kritisch" ein.

Jetzt patchen!

In Illustrator haben die Entwickler insgesamt 17 Lücken geschlossen. Setzen Angreifer erfolgreich an den Schwachstellen an, könnten sie in den meisten Fällen Speicherfehler auslösen und Schadcode ausführen. Wie das im Detail funktioniert, führt Adobe in seiner Warnmeldung nicht aus. Gegen solche Attacken sind die Versionen Illustrator 2021 25.4.6 und Illustrator 2022 26.3.1 unter macOS und Windows gerüstet.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-Schadcode-Luecken-in-InDesign-Illustrator-Co-geschlossen-7141175.html)

Quelle : www.heise.de
Titel: Adobe dichtet teils kritische Lücken ab
Beitrag von: SiLæncer am 13 Juli, 2022, 10:01
In Adobe Acrobat und Reader, Photoshop, RoboHelp und Character Animator schließt der Hersteller Sicherheitslücken. Einige sind kritisch.

Zum Juli-Patchday hat Adobe einige Updates im Köcher, die in mehreren Produkten des Anbieters teils kritische Sicherheitslücken abdichten sollen. Anwender sollten sie zügig einspielen, um nicht Opfer von Angriffen mit Malware zu werden.

In der Bildbearbeitung Photoshop schließen aktualisierte Fassungen eine als kritisch und eine als wichtig eingestufte Schwachstelle. Fehlerbereinigt sind die Fassungen Photoshop 2021 22.5.8 sowie Photoshop 2022 23.4.1 für Mac und Windows. Nähere Details erläutert Adobe in der Sicherheitsmeldung nicht.

Der ganze Artikel (https://www.heise.de/news/Adobe-dichtet-teils-kritische-Luecken-ab-7177696.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt kritische Lücken in Commerce und Kreativprogrammen
Beitrag von: SiLæncer am 10 August, 2022, 12:15
Adobe schließt zum August-Patchday mehrere, teils kritische Sicherheitslücken. Betroffen sind Adobe Commerce und?Magento sowie PDF- und Kreativ-Software.

Am August-Patchday von Adobe meldet der Hersteller teils kritische Sicherheitslücken in seiner Online-Shop-Software Commerce und Magento Open Source sowie Acrobat und Reader und weiterer Kreativ-Software. Aktualisierte Pakete stehen bereit, um die Schwachstellen auszubessern.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-schliesst-kritische-Luecken-in-Commerce-und-Kreativprogrammen-7215839.html)

Quelle : www.heise.de
Titel: Patchday Adobe: Schadcode-Attacken auf InDesign, Photoshop & Co. möglich
Beitrag von: SiLæncer am 14 September, 2022, 10:18
Es gibt wichtige Sicherheitsupdates für verschiedene Anwendungen von Adobe. Derzeit sind keine dokumentierten Attacken bekannt.

Wer Adobe Animate, Bridge, Experience, Illustrator, InCopy, InDesign oder Photoshop einsetzt, sollte aus Sicherheitsgründen die aktuellen Versionen installieren. Geschieht diese nicht, könnten Angreifer im schlimmsten Fall Schadcode auf Systemen ausführen. Den Großteil der Lücken stuft Adobe als "kritisch" ein.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-Schadcode-Attacken-auf-InDesign-Photoshop-Co-moeglich-7263205.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt kritische Schadcode-Lücken in ColdFusion & Co.
Beitrag von: SiLæncer am 12 Oktober, 2022, 18:00
Wer Anwendungen von Adobe nutzt, sollte sie aus Sicherheitsgründen auf den aktuellen Stand bringen.

Aufgrund von mehreren Sicherheitslücken in Acrobat Reader, ColdFusion, Commerce und Dimension von Adobe könnten Angreifer Computer attackieren und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates sind verfügbar. Weitere Informationen zu den Lücken finden sich in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Schadcode-Attacken

In ColdFusion haben die Entwickler dreizehn Sicherheitslücken geschlossen. Davon gelten vier als "kritisch". Von den Lücken sind alle Plattformen betroffen. Die Ausgaben ColdFusion 2018 Update 15 und ColdFusion 2021 Update 5 sind gegen mögliche Attacken abgesichert.

Onlineshops mit Commerce und Magento Open Source sind ebenfalls verwundbar. Shop-Admins sollten sicherstellen, dass die Versionen Commerce/Magento Open Source 2.4.5-p1 und 2.4.4-p2 installiert sind. Ist das nicht der Fall, könnte Schadcode auf Server gelangen.

Acrobat DC, Acrobat Reader DC und Acrobat 2020, Acrobat Reader 2020 sind unter macOS und Windows angreifbar. Hier schaffen schließen die Ausgaben 22.003.20258 und 20.005.30407 sechs Sicherheitslücken. Adobe Dimension ist unter macOS und Windows ebenfalls für Schadcode-Attacken anfällig. Hier hilft die reparierte Version 3.4.6.

Quelle : www.heise.de
Titel: Patchday Adobe: Angreifer könnten Schadcode auf Systeme schieben
Beitrag von: SiLæncer am 14 Dezember, 2022, 12:23
Sicherheitsupdates schließen mehrere Lücken in Adobe Campaign, Experience Manager und Illustrator.

Angreifer könnten mehrere verwundbare Anwendungen von Adobe attackieren und im schlimmsten Fall Schadcode auf Systemen ausführen. Sicherheitspatches schaffen Abhilfe. Adobe stuft alle Updates als „wichtig“ ein.

Jetzt patchen!

Campaign Classic ist unter Linux und Windows bedroht. Sind Attacken erfolgreich, könnten Angreifer den Entwicklern zufolge am Ende mit höheren Nutzerrechten dastehen (CVE-2022-42343). Repariert sind die Ausgaben 7.3.2 und 8.4.2.

Experience Manager ist auf allen Plattformen bedroht. Auch wenn Schadcode-Attacken möglich sind, ist der Bedrohungsgrad jeweils nur mit „mittel“ eingestuft. Die Versionen Cloud Service Release 2022.10.0 und 6.5.15.0 sind gegen mögliche Attacken gerüstet.

Illustrator haben die Entwickler in den Versionen Illustrator 2022 26.5.2 und Illustrator 2023 27.0.1 unter macOS und Windows abgesichert. Hier könnte es einer Warnmeldung zufolge zu Speicherfehlern kommen.

Quelle : www.heise.de
Titel: Adobe Patchday: Schadcode-Attacken auf After Effects & Co. möglich
Beitrag von: SiLæncer am 15 Februar, 2023, 10:18
Adobe hat unter anderem für After Effects, InDesign und Photoshop Sicherheitsupdates veröffentlicht.

Angreifer könnten Computer mit Anwendungen von Adobe attackieren. Die nun geschlossenen Sicherheitslücken betreffen After Effects, Animate, Bridge, Connect, FrameMaker, InDesign, Photoshop, Premiere Rush und Substance 3D Stager. Davon sind macOS und Windows bedroht.

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-Schadcode-Attacken-auf-After-Effects-Co-moeglich-7496102.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt Zero-Day-Lücke und mehr als 100 Schwachstellen
Beitrag von: SiLæncer am 15 März, 2023, 18:15
Adobe dichtet am März-Patchday 106 Sicherheitslecks ab. Eine davon in Adobe ColdFusion missbrauchen Cyberkriminelle bereits in Angriffen.

Adobe bessert am März-Patchday insgesamt 106 Schwachstellen in mehreren Produkten aus. Eine Sicherheitslücke in Adobe ColdFusion missbrauchen Cyberkriminelle bereits für Angriffe. IT-Verantwortliche sollten die bereitstehenden Updates daher zügig herunterladen und installieren.

Von den 106 Schwachstellen betreffen vier Adobe Commerce, 18 Adobe Experience Manager, fünf den Adobe Illustrator, 58 Adobe Dimension, eine die Adobe Creative Cloud Desktop App, 16 Adobe Substance 3D Stager, eine Adobe Photoshop und schließlich drei Adobe ColdFusion. Von den ColdFusion-Schwachstellen berichtet Adobe, dass Angreifer bereits eine davon "in begrenztem Umfang attackiert" hätten. Es handelt sich dabei jedoch nicht um die kritische Schwachstelle mit der CVE-Nummer CVE-2023-26359, die die Updates schließen, sondern um eine unzureichende Zugriffskontrolle in der Software (CVE-2023-26360, CVSS 8.6, Risiko "hoch").

Der ganze Artikel (https://www.heise.de/news/Patchday-Adobe-schliesst-Zero-Day-Luecke-und-mehr-als-100-Schwachstellen-7546150.html)

Quelle : www.heise.de
Titel: Patchday: Adobe schließt Schadcode-Lücke in Substance 3D Painter
Beitrag von: SiLæncer am 10 Mai, 2023, 09:51
Es gibt wichtige Sicherheitsupdates für Adobe Substance 3D Painter. Wer damit 3D-Modelle bearbeitet, sollte die Anwendung aktualisieren.

Adobes Patchday ist im Mai sehr überschaubar und nur eine Anwendung ist von Sicherheitslücken betroffen. Die Entwickler haben eine gefährliche Schwachstelle in Substance 3D Painter geschlossen.

Jetzt patchen!

Wie aus einer Warnmeldung hervorgeht, wurden insgesamt 14 Sicherheitslücken geschlossen. Davon stuft Adobe elf als "kritisch" ein. In allen Fällen könnten Angreifer Speicherfehler provozieren und darüber Schadcode auf Systeme schieben und ausführen. Um eine Attacke einzuleiten, müssten Angreifer mindestens in einem Fall Opfer dazu bringen, eine präparierte Datei zu öffnen, erklären die Entdecker der Lücke von Trend Micros Zero Day Initiative.

Von den Lücken sollen alle Plattformen betroffen sein. Die Entwickler geben an, die Sicherheitsprobleme in der Version 8.3.1 aus der Welt geschafft zu haben. Alle vorigen Ausgaben sollen verwundbar sein.

Quelle : www.heise.de
Titel: Patchday: Adobe-Anwendungen für Schadcode-Attacken anfällig
Beitrag von: SiLæncer am 09 August, 2023, 10:14
Es sind wichtige Sicherheitsupdates für Adobe Commerce, Dimension, Reader und XMP Toolkit SDK erschienen.

Nutzer von Adobe-Anwendungen sollten die unterhalb dieser Meldung verlinkten Warnmeldung studieren und die sie betreffenden Sicherheitspatches zeitnah installieren. Andernfalls können sich im schlimmsten Fall Angreifer mit Schadcode auf Systemen breit machen.

Die Schwachstellen

Am gefährlichsten gilt eine "kritische" Schadcode-Lücke (CVE-2023-38208) in Commerce und Magento Open Source. Aufgrund von unzureichenden Überprüfungen können Angreifer mit präparierten OS-Kommandos an der Schwachstelle ansetzen und im Onlineshop-System eigenen Code ausführen. Das führt in der Regel zu einer vollständigen Kompromittierung eines Systems.

Acrobat Reader ist über mehrere Schwachstellen attackierbar. Hier können Angreifer unter anderem Sicherheitsmechanismen umgehen oder Schadcode ausführen. Davon sind Versionen für macOS und Windows betroffen. Dimension ist ebenfalls unter macOS und Windows für Schadcode-Attacken anfällig. Das XMP Toolkit SDK kann als Ansatzpunkt für eine DoS-Attacke dienen.

Liste nach Bedrohungsgrad absteigend sortiert:

    Adobe Commerce
    Adobe Acrobat und Reader
    Dimension
    Adobe XMP Toolkit SDK

Quelle : www.heise.de
Titel: Patchday: Angriffe mittels präparierter PDF-Dateien auf Adobe Acrobat
Beitrag von: SiLæncer am 13 September, 2023, 09:48
Adobe hat in Acrobat und Reader, Connect und Experience Manager mehrere Sicherheitslücken geschlossen.

Der Softwarehersteller Adobe warnt vor Attacken auf Acrobat Reader und hat dagegen abgesicherte Ausgaben veröffentlicht. Wer die Anwendungen nutzt, sollte die Aktualisierung sicherstellen.

Derzeit laufende Attacken

In einer Warnmeldung spricht Adobe von "begrenzten Angriffen". Setzen Angreifer mit Erfolg an der Lücke (CVE-2023-26369 "hoch") an, soll das zu einem Speicherfehler (Out-of-bounds Write) führen und darüber gelangt Schadcode auf Systeme. Um macOS und Windows zu schützen, hat Adobe folgende gepatchte Ausgaben veröffentlicht:

    Acrobat DC Continuous 23.006.20320
    Acrobat Reader DC Continuous 23.006.20320
    Acrobat 2020 Classic 2020 20.005.30524
    Acrobat Reader 2020 Classic 2020 20.005.30524

Connect und Experience Manager sind ebenfalls für Schadcode-Attacken im XSS-Kontext anfällig. Die Schwachstellen sind mit dem Bedrohungsgrad "mittel" eingestuft. Dagegen sind diese Versionen gerüstet:

    Adobe Experience Manager AEM Cloud Service Release 2023.8 und 6.5.18.0
    Adobe Connect 12.4.1

Quelle : www.heise.de
Titel: Patchday Adobe: Schadcode-Attacken auf Magento-Shops und Photoshop möglich
Beitrag von: SiLæncer am 11 Oktober, 2023, 09:31
Die Entwickler von Adobe haben in Bridge, Commerce, Magento Open Source und Photoshop mehrere Sicherheitslücken geschlossen.

Wer Adobe-Anwendungen nutzt, sollte sie aus Sicherheitsgründen auf den aktuellen Stand bringen. Geschieht dies nicht, können Angreifer Systeme im schlimmsten Fall mit Schadcode kompromittieren. Informationen zu laufenden Attacken sind bislang nicht bekannt.

Wichtige Updates

Am gefährlichsten gelten zehn Schwachstellen in Commerce und Magento Open Source. Angreifer können hier für mehrere Attacken ansetzen und sich höhere Nutzerrechte aneignen, Sicherheitsfeatures umgehen und Schadcode ausführen. Der Großteil der Lücken ist mit dem Bedrohungsgrad "hoch" eingestuft. Die dagegen abgesicherten Versionen listet Adobe in einer Warnmeldung auf.

Photoshop ist unter macOS und Windows für Schadcode-Attacken anfällig (CVE-2023-26370, "hoch"). Hier schaffen die Ausgaben Photoshop 2023 24.7.1 und Photoshop 2024 25.0 Abhilfe. Bridge ist ebenfalls unter macOS und Windows attackierbar. An dieser Stelle kann es zu Memory Leaks kommen (CVE-2023-38216, "mittel"; CVE-2023-38217, "mittel"). Die Entwickler geben an, die Ausgaben 13.0.4 und 14.0.0 repariert zu haben.

Im September hatte Adobe bereits in Angriffen missbrauchte Sicherheitslücken im Acrobat Reader ausgebessert. Weitere Lücken betrafen Adobe Experience Manager AEM Cloud Service sowie Adobe Connect.

Quelle : www.heise.de
Titel: Patchday Adobe: Adobe schließt 185 Sicherheitslücken in Experience Manager
Beitrag von: SiLæncer am 13 Dezember, 2023, 09:38
Angreifer können Systeme mit Anwendungen von Adobe ins Visier nehmen. Nun hat der Softwarehersteller Schwachstellen geschlossen.

Adobe rüstet After Effects, Dimension, Experience Manager, Illustrator, InDesign, Prelude, Substance 3D Sampler und Substance 3D Stager gegen mögliche Attacken. In einigen Fällen können Angreifer Schadcode auf Systemen ausführen und so die volle Kontrolle über PCs erlangen.

Informationen zu den Sicherheitsupdates finden sich in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Gefährliche Lücken

In Experience Manager hat Adobe insgesamt 185 Schwachstellen geschlossen. Dabei handelt es sich um Stored-XSS-Lücken, über die Angreifer eigenen Code ausführen können. Alle Lücken sind mit dem Bedrohungsgrad "mittel" eingestuft. Der Einstufung zufolge sollten Attacken nicht ohne Weiteres möglich sein. Wie Angriffe aussehen könnte, führt der Softwarehersteller derzeit nicht aus.

In allen anderen Anwendungen können Angreifer auf nicht näher beschriebenen Wegen Speicherfehler auslösen und darüber Schadcode auf Computer schleusen. Der Großteil der Schadcode-Lücken ist mit "hoch" eingestuft.

Admins sollten sicherstellen, dass die aktuellen Versionen installiert sind:

    After Effects
    Dimension
    Experience Manager
    Illustrator
    InDesign
    Prelude
    Substance 3D Sampler
    Substance 3D Stager

Quelle : www.heise.de