Thema: Patchday bei Adobe

[SiLæncer]

Kurz und knapp gab Adobe am gestrigen Freitag, dem 11. Mai, in einem Update eines Security Bulletin bekannt, nun doch an einem Patch für Sicherheitslücken in Photoshop und Illustrator der Creative Suite 5.x zu arbeiten. Gleichzeitig korrigierte das Unternehmen die Angaben über die betroffenen Versionen. Hieß es anfangs noch, es seien nur die Programme der CS 5.x betroffen, räumt man nun ein, dass offenbar auch alle älteren Versionen der Software anfällig für Angriffe sind. Das Problem betrifft die Programmfassungen für Mac OS X und Windows gleichermaßen.

Am Dienstag hatte das im kalifornischen San Jose beheimatete Unternehmen noch bekanntgegeben, dass es keine Security-Updates für ältere Installationen von Photoshop, Illustrator oder Flash Pro mehr liefern werde. Wer sich gegen kritische Sicherheitlücken absichern wolle, müsse auf die Creative Suite 6 upgraden – natürlich kostenpflichtig. Auf Nachfrage von heise Security bestätigte Adobe seine Marschrichtung zwei Tage später, was im Internet für Aufregung und Protest sorgte und schlussendlich als Entscheidungshilfe für den Meinungsumschwung gedient haben mag.

Quelle : www.heise.de

[SiLæncer]

Adobe hat zahlreiche kritische Schwachstellen in Photoshop (CS5 und CS5.1) und Illustrator (CS5 und CS5.5) geschlossen. Durch die Lücken kann man sein System mit Schadcode infizieren, etwa indem man ein speziell präpariertes TIFF-Dokument mit Photoshop öffnet. Insgesamt schließen die Updates drei kritische Photoshop-Lücken und sechs kritische Illustrator-Lücken. Betroffen sind sowohl die Windows- als auch die Mac-Ausgaben der Programme.

Ursprünglich wollte das Unternehmen die Lücken nur in den 6er Versionen schließen – ein Update, das allein im Fall von Photoshop mit 273 Euro zu Buche schlägt. Adobe argumentierte, dass "das reale Risiko für Anwender [...] keine speziellen Security-Updates" rechtfertige und löste damit eine Welle von Nutzerprotesten aus. Wenige Tage später gab das Unternehmen den Forderungen seiner zahlenden Kundschaft nach und stellte die sicherheitsrelevanten Patches schließlich auch den Nutzern der Vorversion in Aussicht.

Mit den jetzt veröffentlichten Updates können sich jetzt auch die Nutzer von CS5.x wieder sicher fühlen – rund einen Monat, nachdem die Lücken durch das kostspielige Upgrade auf den Nachfolger beseitigt wurden. Die Updates findet man in den oben verlinkten Advisories.

Quelle : www.heise.de

[SiLæncer]

Adobe hat am Freitag seinen Flash-Player sowie die AIR-Laufzeitumgebung aktualisiert. Die Updates sollen sieben Sicherheitslücken beseitigen, die neben Windows, Mac OS und Linux auch Android-Smartphones betreffen.

Adobe zufolge können die gefundenen Sicherheitslücken den Flash-Player zum Absturz bringen und Angreifern damit Zugriff auf das betroffene System verschaffen.

Unter anderem führt der Hersteller in seiner Mitteilung zwei Speicherfehler, einen Stapelüberlauf sowie eine Möglichkeit zur Umgehung der Modul-Sicherheit auf, über die sich Daten ausspähen lassen. Darüber hinaus soll das Update auch eine Sicherheitslücke im Flash-Installationsprogramm beseitigen.

Für das Finden der Sicherheitslücken bedankt sich Adobe bei Fortinet, Google, iDefense, Microsoft, Symantec und einem "anonymen Berichterstatter".

Die aktuelle Revisionsnummer von Flash für Windows und Mac OS lautet 11.3.300.257. Die Linux-Version trägt die Revisionsnummer 11.2.202.236. Das Plug-in für Android 4 wird auf 11.1.115.9 aktualisiert, das für Android 3 und 2 auf die schöne Zahl 11.1.111.10. Adobe AIR wird plattformübergreifend auf die Revision 3.3.0.3610 gepatcht (Android, Mac OS und Windows).

Linux-, Mac-OS- und Windows-Anwender können die jeweiligen Updates bei Adobe herunterladen. Android-Anwender erhalten die Updates über den Android-Marktplatz "Google Play".

Da Google Chrome das Plug-in fest integriert, ist auch hier ein Update fällig: Die Chrome-Version mit dem aktualisierten Flash-Plug-in soll die Revisionsnummer 19.0.1084.56 tragen.

Quelle : www.heise.de

[SiLæncer]

Die aktuelle Version 11.3 des Flash-Plug-ins bringt Firefox 13 vermehrt zum Absturz. Die Problemquelle scheint ausgerechnet der jüngst eingeführte "Protected Mode" zu sein, der das Plug-in von seiner Umgebung abschotten soll. Mittlerweile ist die Zahl der betroffenen Anwender so hoch, dass sowohl Adobe als auch Mozilla unterschiedliche Ansätze zur Problemlösung bereitstellen.

Viele der Abstürze scheinen auf Wechselwirkungen des Flash-Players mit anderen installierten Plug-ins zu beruhen – insbesondere solchen, die eine Option zur "Aufnahme" von Flash-Videostreams anbieten. Explizit nennt Mozilla dabei die Firefox-Erweiterung "RealPlayer Browser Record". Mozilla empfiehlt eine Deaktivierung des Plug-ins und hat es in seiner Schwarzen Liste aufgenommen. In der Blocklist enthaltene Module sind als unsicher oder instabil bekannt. Firefox deaktiviert die in der Liste enthaltenen Erweiterungen automatisch, der Anwender kann sie aber per Hand reaktivieren.

Eine andere Möglichkeit zur Abhilfe besteht darin, den Protected Mode zu deaktivieren. Hierfür muss man unter Windows 7 oder Vista die Konfigurationsdatei "mms.cfg" um die Zeile "ProtectedMode=0" ergänzen. Da der Protected Mode bei Windows XP grundsätzlich nicht zum Einsatz kommt, kann man sich den Schritt hier sparen.

Bei einem 64-bittigen Windows 7 oder Vista liegt die mms.cfg-Datei in <%windir%\syswow64\macromed\flash>; bei einem 32-Bit-Windows in <%windir%\system32\macromed\flash>. Für diese Änderung muss man die Datei mit Administratorrechten bearbeiten. Eine detaillierte Anleitung findet sich in Adobes FAQ zum Protected Mode.

Bei manchen Anwendern konnten einige Abstürze darauf zurückgeführt werden, dass die Out of Process Plugin Protection von Firefox manuell deaktiviert war. Ein Support-Artikel auf mozilla.org erklärt, wie man diese Änderung wieder rückgängig machen kann.

Adobe geht bis zum Äußersten und gibt eine Anleitung, wie man den Flash-Player durch eine ältere Version ersetzen kann. Hier sollte man auf keinen Fall auf den Build 11.2 zurückgehen – diese Version hat bekannte schwerwiegende Sicherheitslücken, die bereits aktiv ausgenutzt werden. Stattdessen soll man den Flash-Player 10.3 installieren, in dem dieselben Lücken gestopft sind wie bei der Revision 11.3. Der Hersteller versorgt Adobe Flash 10 für Firmenkunden parallel zu den 11er-Releases weiter mit Sicherheits-Patches.

Quelle : www.heise.de

[ritschibie]

Firefox hat wohl heute reagiert. Jedenfalls habe ich ein Update auf 13.01 bekommen. Ich hatte auch schon zweimal Probs mit dem Flash-Player...

[SiLæncer]

Jo...siehe auch hier : http://www.dvbcube.org/index.php?topic=5717.msg174724#msg174724

[ritschibie]

Nachtrag vom 18. Juni 2012, 9:34 Uhr

Entgegen den Aussagen in der ersten Artikelfassung korrigiert das Update auf Firefox 13.0.1 nicht die Probleme bei der Flash-Wiedergabe, die somit weiter bestehen.

Quelle: www.golem.de

[SiLæncer]

Das vor einigen Tagen veröffentlichte Update des Firefox 13 half nicht zuverlässig, nun soll ein neuer Flash-Player die Ursache für Abstürze des Browsers unter Windows beseitigen: Adobe veröffentlichte ein Update der Version 11.3 seines Plug-ins.

Das Problem soll mit dem kürzlich in der Windows-Version des Player eingeführten Protected Mode für den Firefox-Browser zusammenhängen. Er isoliert das Plug-in, indem er es in einer eigenen, abgeschotteten Umgebung ("Sandbox") ausführt. Einige Anwender berichteten auch nach dem jüngsten Firefox-Update noch von Crashes, wenn sie Flash-Inhalte im Protected Mode anschauten. Adobes neue Version soll zwar diese Lücke beheben, gleichzeitig berichten die Release-Notes jedoch von verzerrtem Sound beim Streamen einiger Flash-Filme.

Wer den eingebauten Updater des Plug-in aktiviert hat, bekommt die neue Version automatisch installiert. Alle anderen können sie bei Adobe herunterladen.

Quelle : www.heise.de

[ritschibie]

Neben Microsoft hat auch Adobe seinen Patchday vollzogen und dabei kritische Lücken in zahlreichen Produkten geschlossen. Darunter befindet sich eine kritische Schwachstelle im Flash Player 11.3.300.270 (und älter), die bereits aktiv für gezielte Angriffe ausgenutzt wird.

Abhilfe schafft das Update auf die Version 11.3.300.271 für Windows und Mac OS X sowie auf 11.2.202.238 für Linux. Google hat bereits reagiert und die Chrome-Version 21.0.1180.79 herausgegeben, die den aktualisierten Flash-Player mitbringt. Welche Version des Flash-Plugins der eingesetzte Browser gerade nutzt, erfährt man auf einer speziellen Testseite.

Eine ganze Reihe kritischer Speicherfehler musste Adobe sowohl in der Windows- als auch in der Mac-Ausgabe vom Reader und Acrobat schließen. Verwundbar sind die Versionen X 10.1.3 (und älter) sowie 9.5.1 (und älter). Die Fehler können Angreifer potenziell zum Einschleusen von Schadcode missbrauchen. Abhilfe schaffen die Updates auf die Versionen X (10.1.4) und 9.5.2. Die passenden Links findet man im Advisory.

Weitere fünf Speicherfehler hat das Unternehmen in seinem Shockwave Player für Windows und Mac OS X behoben. Verwundbar sind alle Versionen bis 11.6.5.635, die fehlerbereinigte Version heißt 11.6.6.636.

Quelle: www.heise.de

[SiLæncer]

Adobe hat an seinem August-Patchday zahlreiche kritische Speicherfehler in seinem Reader für Windows und Mac OS X geschlossen, dabei allerdings die Linux-Nutzer außen vor gelassen. Die Entdecker der Schwachstellen befürchten nun, dass man durch einen Vergleich der aktuellen Windows-Version des Readers und der Vorversion genügend Anhaltspunkte zum Bau von Exploits erhält. Linux-Nutzer wären diesen schutzlos ausgeliefert. Darüber hinaus gibt es selbst in den gepatchten Versionen noch insgesamt 16 offene Sicherheitslücken.

Die Google-Mitarbeiter Mateusz Jurczyk und Gynvael Coldwind untersuchten zunächst die PDF-Engine des Chrome-Browsers, wobei sie zahlreiche Lücken fanden. Anschließend testeten sie auch den Adobe Reader und entdeckten rund 60 Absturzursachen, von denen sich 40 potenziell für Angriffe ausnutzen lassen. Nachdem die beiden Adobe über ihre Funde informierten, versprach der Hersteller Linderung – ließ jedoch auch durchblicken, dass nicht alle Lücken am August-Patchday geschlossen werden.

Der ganze Artikel

Quelle : www.heise.de

[dvb_ss2]

Unter Linux nutze ich aktuell nur den normalen Dokumentbetrachter. Adobe Reader habe ich unter Linux noch nie benutzt.

War wohl 'ne gute Entscheidung.

dvb_ss2

[Jürgen]

Sehe ich genauso.

Einen freien PDF-Viewer bringen die meisten Tuxe schon seit vielen Jahren mit.
Daher habe auch ich dort noch nie den von Adobe installiert.

Und unter Windows auch schon seit bald zehn Jahren nicht mehr.
Auch wenn z.B. ElStEr mit manchen freien PDF-Viewern übel herumzickt.
Hartnäckiges Ignorieren von Fehlermeldungen kann aber helfen.

Leider ist es bei Flash noch nicht ganz so leicht 
Das ist nämlich nicht weniger gefährlich, zumal im Web kaum zu vermeiden.

Jürgen

[SiLæncer]

Adobe muss nur wenige Tage nach dem letzten Flash-Player-Update noch einen Sicherheitspatch nachreichen. Erneut werden gefährliche Sicherheitslücken beseitigt.

Für den Flash Player hat Adobe aufgrund schwerer Sicherheitslücken erneut einen Sicherheitspatch veröffentlicht. In seinem Sicherheitsdokument APSB12-19 listet Adobe gleich sechs CVE-Nummern, die offenbar bei der Flash-Player-Aktualisierung der vergangenen Woche nicht berücksichtigt wurden. Das letzte Update war ein geplantes Update, das bereits am 9. August angekündigt wurde. Der aktuelle Patch kommt ohne Vorwarnung für Administratoren und Anwender.

Betroffen ist erneut eine ganze Reihe von Betriebssystemen: neben Windows, Mac OS X und Linux auch Android 3 und 4. Auf den Systemen kann der Angreifer Schadcode ausführen und so die Kontrolle über das Gerät übernehmen. Laut Adobe sollten vor allem Windows-Nutzer schnell den neuen Player installieren.

Der Flash Player sollte über die automatischen Updatemechanismen von Adobe verteilt werden. Wer sofort sicherstellen will, dass der Flash Player aktuell ist, kann ihn manuell bei Adobe herunterladen.

Adobe verzichtet seit dem zweiten Quartal 2012 auf die Quartalspatchdays und kündigt seine Patchdays seither mehrere Tage vorher an. Im Notfall kann so ein Patch aber auch sehr schnell erscheinen.

Quelle : www.golem.de

[ritschibie]

Missbrauchtes Zertifikat wird am
4. Oktober 2012 zurückgezogen. (Bild: Adobe)

Angreifern ist es offenbar gelungen, Malware mit einem Zertifikat von Adobe zu signieren, so dass bei deren Installation unter Windows keine Warnungen auftreten. Adobe hat angekündigt, das entsprechende Zertifikat zurückzuziehen.

Adobe kündigt an, am 4. Oktober 2012 ein Zertifikat zum Signieren von Windows-Programmen zurückzuziehen. Grund dafür: Es ist Angreifern gelungen, Malware mit Adobes Zertifikat zu unterschreiben, so dass Windows keine Warnungen anzeigt, wenn versucht wird, die Malware zu installieren. Windows geht aufgrund der Signatur davon aus, die Software stammt von Adobe.

Adobe wurden am 12. September konkret zwei Programme zugespielt, die mit einem Adobe-Zertifikat signiert wurden: pwdump7 v7.1 und Mygeeksmail.dll. Die Software pwdump7 liest Passwort-Hashes aus Windows aus, bei Mygeeksmail.dll handelt es sich vermutlich um einen Isapi-Filter. Die Dateien tauchten laut Adobe am 25. und 26. Juli 2012 erstmals auf.

Was war passiert?

Laut Adobe verschafften sich die Angreifer Zugang zu einem Build-Server, der Zugriff auf Adobes Code-Signatur-Dienst hat. Der Server sei nicht entsprechend Adobes Unternehmensstandard konfiguriert gewesen, was im normalen Provisioning-Prozess aber nicht aufgefallen sei. Warum das nicht erkannt wurde, ist derzeit noch unklar.

Die Angreifer haben nach Adobes Erkenntnissen keinen Zugriff auf die privaten Schlüssel von Adobe gehabt, sollen aber in der Lage gewesen sein, ihre Software von Adobes internem Dienst signieren zu lassen. Der betroffene Build-Server habe zudem nur Zugriff auf den Code eines einzelnen Adobe-Produkts gehabt, und es gebe keinen Hinweis darauf, dass Quellcode gestohlen wurde.

Um weitere Probleme auszuschließen, hat Adobe eine komplett neue Signatur-Infrastruktur aufgesetzt, mit der sämtliche Programme noch einmal neu signiert werden, die mit dem von den Angreifern genutzten Schlüssel signiert wurden. Dabei ist diesmal ein Mensch zwischengeschaltet, der alle Signaturanfragen freigeben muss.

Am 4. Oktober 2012 soll der betroffene Schlüssel nun für sämtlichen Code, der nach dem 10. Juli 2012 damit signiert wurde, zurückgezogen werden.

Quelle: www.golem.de

[SiLæncer]

Adobe muss erneut den Flash Player aktualisieren. Die neuen Versionen beseitigen gefährliche Sicherheitslücken in den Versionen für Windows, Mac OS X, Linux sowie Android. Anwender sollten möglichst schnell ihren Flash Player austauschen.

Adobe hat ein Security Bulletin für den Flash Player herausgegeben, das vor gefährlichen Sicherheitslücken warnt. Betroffen sind zahlreiche Versionen für Windows, Mac OS X, Linux und auch das mobile Betriebssystem Android. Android-Nutzer sind in der Masse aber nicht so sehr betroffen, da Adobe den Vertrieb bereits weitgehend eingestellt hat. So wurde der Flash Player bereits Mitte August 2012 aus dem Play Store entfernt. Wer dennoch einen Flash Player auf seinem Android-Gerät installiert hat, dürfte über die Updatefunktion bereits eine Benachrichtigung erhalten haben.

Der ganze Artikel

Quelle : www.golem.de