Thema: Patchday bei Adobe

[SiLæncer]

Zu einem ungewöhnlichen Zeitpunkt hat Adobe ein Update für Flash veröffentlicht. Mindestens eine der gestopften Sicherheitslücken wird bereits für Angriffe genutzt.

Adobe hat ein wichtiges Flash-Update veröffentlicht. Es schließt insgesamt 19 Lücken mit eigenem Common Vulnerability Eunumerator (CVE). Einige der Lücken sind kritischer Natur – das heißt, sie sind geeignet, einen PC etwa allein beim Besuch einer Webseite mit Schad-Software zu infizieren.

Tatsächlich wird mindestens eine dieser Lücken genau dazu bereits genutzt. Laut Adobe gibt es bereits Angriffe, die CVE-2015-8651 verwenden, um Opfer ganz gezielt anzugreifen. Das dürfte auch der Grund für den außergewöhnlichen Termin für das Update sein.

Vielleicht wäre das eine gute Gelegenheit, Flash mal zu deinstallieren und zu sehen, ob man nicht auch ohne auskommt. Immer mehr Websites verzichten auf Flash und setzen dafür etwa HTML5 ein.

Quelle : www.heise.de

[SiLæncer]

Für Nutzer von Anwendungen der Acrobat-Familie stehen Sicherheitsupdates bereit. Adobe stuft die Schwachstellen als kritisch ein.

Am ersten Patchday in diesem Jahr kümmert sich Adobe um verschiedene Acrobat-Anwendungen und stopft 17 Schwachstellen. Betroffen sind Acrobat DC, Acrobat Reader DC bis Version 15.009.20077 (Continuous), Acrobat DC, Acrobat Reader DC bis Version 15.006.30097 (Classic) und Acrobat XI und Reader XI bis Version 11.0.13 (Desktop).

Die Sicherheitsupdates stehen für OS-X- und Windows-Nutzer bereit. Die Installation soll automatisch erfolgen. Nutzer können die abgesicherten Versionen aber auch herunterladen und selbst installieren. Unternehmen finden die Anwendungen auf einem FTP-Server von Adobe.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Neben den üblichen kritischen Lücken in Flash schließt die Firma diesmal auch eine kritische Lücke in Photoshop und Adobe Bridge. Auch Adobe Experience Manager und Connect erhalten Updates.

Adobes monatlicher Patchday fällt diesmal ungewohnt üppig aus: Neben den erwartbaren kritischen Lücken in Flash wird diesmal auch eine kritische Schwachstelle im Flaggschiff-Produkt Photoshop abgedichtet. Außerdem hat die Firma Updates für Adobe Connect und den Adobe Experience Manager veröffentlicht, die als "wichtig" eingestuft werden. Die Flash-Updates gibt es wie immer auf der eigens dafür eingerichteten Download-Seite von Adobe, die Photoshop-Updates können über Links in der entsprechenden Sicherheitsmeldung heruntergeladen werden.

Bei Flash repariert Adobe eine Reihe von Programmierfehlern, unter anderem bei der Speicherverwaltung. Diese können von Angreifern missbraucht werden, um Schadcode aus der Ferne auszuführen, weswegen sie als "kritisch" bewertet werden. Windows- und Mac-Nutzer sollten sicherstellen, dass sie Flash 20.0.0.306 nutzen, um nicht Opfer solcher Angriffe zu werden. Die Extended-Support-Ausgabe 18.0.0.329 ist ebenfalls abgedichtet. Linux-Anwender brauchen Flash 11.2.202.569. Nutzer von Google Chrome, Microsoft Edge und Internet Explorer auf Windows 10 und 8.x brauchen sich um nichts kümmern, sie bekommen die Updates automatisch eingespielt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Adobe schließt Lücken in ColdFusion, der Creative Cloud, dem DNG Development Kit und seinem Texteditor Brackets. Nur eine kritische Flash-Lücke bleibt erst mal ungepatcht.

Adobe hat zum monatlichen Patchday Lücken in ColdFusion, der Adobe Creative Cloud, seinem quelloffenen Texteditor Brackets und im Digital Negative (DNG) Development Kit geschlossen. Nur Patches für den Flash Player such man vergebens, und dabei klafft eine kritische Lücke in der Software (CVE-2016-4171), die laut Kaspersky bereits für gezielte Angriffe missbraucht wird. Adobe will diese Lücke nach eigenen Angaben "frühestens am 16. Juni" stopfen. Das ist nun schon das zweite Mal, dass Adobe kritische Flash-Patches um ein paar Tage verschleppt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Adobe hat den am Patchday angekündigten Flash-Patch veröffentlicht. Er stopft mehrere Lücken in der Software. Eine wird bereits für Angriffe auf Nutzer missbraucht.

Adobe hat einen kritischen Flash-Patch veröffentlicht. Das Sicherheits-Update schließt 36 verschiedene Lücken im Flash Player, die dazu missbraucht werden können, Schadcode auf den Rechnern der Opfer auszuführen. Darunter ist auch die von Kaspersky entdeckte Lücke (CVE-2016-4171), die bereits aktiv ausgenutzt wird, um Anwender beim Besuch manipulierter Webseiten anzugreifen (was sie zu einer Zero-Day-Lücke macht). Betroffen ist Flash auf Windows, OS X und Linux – wobei das Update für Linux von Adobe nur mit Priorität 3 eingeschätzt wird und so weit weniger kritischer ist als die Updates für Windows- und Mac-Rechner.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Adobe musste überraschend eine kritische Lücke in Flash stopfen, die bereits für gezielte Angriffe auf Windows-Nutzer ausgenutzt wird. Das vorige Sicherheits-Update liegt gerade mal zwei Wochen zurück.

Adobe hat überraschend ein Sicherheits-Update für seinen Flash-Player herausgegeben, das eine kritische Schwachstelle beseitigt, durch die ein Angreifer die Kontrolle über das System erlangen kann. Es handelt sich um einen Speicherfehler (Use-after-free), der nach Angaben von Adobe auch schon für gezielte Angriffe gegen Nutzer von Windows 7 bis 10 ausgenutzt wird. Grundsätzlich sind aber offenbar auch Linux, macOS und Chrome OS durch die Lücke angreifbar.

Der abgesicherte Flash-Player trägt die Versionsnummer 23.0.0.205, Linux-Nutzer sind mit Version 11.2.202.643 auf der sicheren Seite. Verwundbar sind alle älteren Versionen – wer Flash auf seinem System hat, muss also handeln. Unter Windows 8.1 und 10 kümmert sich Windows Update automatisch um die Aktualisierung, Google versorgt das in Chrome integrierte Flash-Plugin über die automatischen Browser-Aktualisierung mit Updates. Welche Version aktuell im Einsatz ist, verrät eine Testseite bei Adobe. Zuvor hatte Adobe am 12. Oktober ein umfangreiches Sicherheits-Update für Flash veröffentlicht.

Quelle : www.heise.de

[SiLæncer]

In diesem Monat stellt Adobe Sicherheitsupdates für neun Anwendungen von Animate bis RoboHelp bereit. Vor allem Flash-Nutzer sollten zeitnah aktualisieren: Angreifer attackieren derzeit bestimmte Windows-Systeme.

Adobe schließt Sicherheitslücken in Animate, ColdFusion Builder, Digital Editions, DNG Converter, Experience Manager, Experience Manager Forms, Flash Player, InDesign und RoboHelp. Außerdem ist der Flash Player unter ChromeOS, Linux, macOS und Windows verwundbar. Insgesamt schließt Adobe 17 kritische Sicherheitslücken. Der Anbieter warnt dringlich vor der Lücke mit der Kennung CVE-2016-7892, auf die es Angreifer aktuell abgesehen haben. Im Angriffsfokus sollen Windows-Nutzer mit dem Internet Explorer (32 Bit) stehen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Im Flash Player und Adobe Digital Editions klaffen kritische Lücken. Aktuell sind vor allem Windows-Nutzer von den Flash-Lücken bedroht. Adobe Campaign erhält ebenfalls Sicherheitsupdates.

An Adobes zweitem Patchday in diesem Jahr steht vor allem der Flash Player im Fokus: Adobe stellt die abgesicherte Version 24.0.0.221 für Chrome OS, Linux, macOS und Windows bereit – alle vorigen Ausgaben sollen bedroht sein, warnt Adobe.

Insgesamt stopft das Sicherheitsupdate mehrere als kritisch eingestufte Sicherheitslücken, die insgesamt dreizehn CVE-Nummern zugeordnet sind. Angreifer sollen die Lücken aus der Ferne ausnutzen können, um diverse Speicherfehler (etwa integer overflow, use-after-free) auszulösen und letztlich Schadcode zur Ausführung zu bringen. So kann ein Übergriff in einer kompletten Übernahme eines gefährdeten Computers enden.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Wie gewohnt flickt Adobe den Flash Player – darüber hinaus bekommt diesen Monat auch der Shockwave Player ein Sicherheits-Update serviert.

Adobes Flash Player ist mal wieder in kritischem Zustand und Chrome-OS-, Linux-, macOS- und Windows-Nutzer sollten zeitnah die abgesicherte Version 25.0.0.127 installieren. Alle vorigen Versionen sollen bedroht sein, warnt Adobe.

Den Bedrohungsgrad der Lücken stuft Adobe mit "kritisch" ein. Setzt ein Angreifer an einer Lücke an, kann er ganze Computer kapern. Neben dem Ausführen von Schadcode aus der Ferne sollen Angreifer auch Informationen abgreifen können. Insgesamt sind die Schwachstellen sieben CVE-Nummern zugeteilt. Details zu Angriffsszenarien gibt Adobe wie gewohnt nicht bekannt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Kritische Lücken in Flash sowie in Adobe Acrobat und Reader benötigen sofortige Aufmerksamkeit. Auf ungepatchten Systemen können Angreifer Schadcode aus der Ferne ausführen. Photoshop ist diesmal auch mit Sicherheitslücken beim Patchday dabei.

Adobe hat kritische Sicherheitslücken in Flash, Adobe Acrobat, Reader und in Photoshop geschlossen. Dabei handelt es sich fast ausschließlich um Speicherverarbeitungsfehler. Wichtige Updates gibt es auch für die Desktop-App der Creative Cloud und das Marketing-Tool Adobe Campaign. Wie immer sollten vor allem Flash- und Acrobat-Updates schnellstmöglich installiert werden, da die Lücken zur Ausführung von Schadcode aus der Ferne missbraucht werden können.

Die meisten Schwachstellen finden sich in Acrobat und Reader, wo dutzende einzelne Bugs gefixt wurden. Das Update mit der höchsten Priorität ist allerdings das für Flash, denn ungepatchte Versionen des Flash Players dürften aller Erfahrung nach bald Ziel von Drive-By-Angriffen im Web werden. Adobe empfiehlt auf die folgenden abgesicherten Versionen seiner Software zu aktualisieren:

    Flash 25.0.0.148 für Windows, macOS und Linux
    Acrobat und Reader XI 11.0.20 für Windows und macOS
    Acrobat und Reader DC 2015.006.30306 für Windows und macOS
    Acrobat und Reader DC Continuous 2017.009.20044 für Windows and macOS
    Adobe Photoshop CC 2015.5 17.0.2 für Windows and macOS
    Adobe Photoshop CC 2017 18.1 für Windows and macOS
    Adobe Creative Cloud 4.0.0.185 für Windows
    Adobe Campaign v6.11 Build 8795 für Windows und Linux

Die Flash-Installationen für Google Chrome und Microsoft Edge unter Windows 10 und 8.1 aktualisieren sich wie gehabt automatisch.

Quelle : www.heise.de

[SiLæncer]

Adobe veröffentlicht abgesicherte Versionen des Flash Players und Experience Manager Forms. Aufgrund kritischer Lücken sollten Sie Flash zügig aktualisieren.

Angreifer könnten sieben als kritisch eingestufte Sicherheitslücken im Flash Player ausnutzen, um Computer komplett zu übernehmen. Auch Adobes Experience Manager Forms ist verwundbar.

Von den Schwachstellen in Flash sind alle Version bis einschließlich 25.0.0.148 und 25.0.0.163 unter Chrome OS, Linux, macOS und Windows betroffen. Die Ausgabe 25.0.0.171 ist abgesichert. Das Ausnutzen dieser Lücken soll in allen Fällen zu Speicherfehlern (etwa use-after-free) führen und mit der Ausführung von Schadcode enden. Sechs der Schwachstellen hat ein Sicherheitsforscher von Tencent KeenLab entdeckt und an Adobe gemeldet.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Adobe patcht mal wieder Flash und Anwender sollten das Update, wie üblich, schnellstmöglich installieren. Kleinere Sicherheitslücken wurden außerdem in der Web-Conferencing-Software Adobe Connect für Windows geschlossen.

Adobes Patchday für den Juli hat einen kleineren Umfang als gewöhnlich und enthält Sicherheitsupdates für den Flash Player und die Windows-Version der Web-Conferencing-Software Adobe Connect. Den Flash-Player betreffen drei Sicherheitslücken, eine davon gilt als kritisch. Nutzer sollten sich allerdings nicht durch die ungewöhnlich kleine Anzahl der geschlossenen Lücken täuschen lassen: Auf Grund der Verbreitung und Exponiertheit von Flash ist die Software nach wie vor eine beliebtes Ziel für Drive-By-Angriffe im Netz.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Das Ende des Flash-Plugins hat begonnen. Bis 2020 werden die Browser-Hersteller die Unterstützung der Software immer weiter zurückfahren und dann will Adobe sie ganz zurückziehen. Dann geht sie in die Annalen der Internetgeschichte ein.

Der US-Konzern Adobe hat das schrittweise Ende des Flash Players angekündigt. Ab Ende 2020 sollen keine Updates mehr für die Software veröffentlicht werden, die dann außerdem nicht mehr verbreitet werden soll. Damit werden viele Internetnutzer und Entwickler erhört, die bereits seit langem das Ende des Plugins fordern, das fürs Surfen seit längerem nicht mehr zwangsläufig notwendig war, sondern vor allem durch immer neue Sicherheitslücken auf sich aufmerksam gemacht hat. Zum angekündigten Abschied erinnert Adobe nun noch einmal daran, wie wichtig Flash für die Verbreitung interaktiver und kreativer Inhalte war. Inzwischen erfüllten aber offene Standards wie HTML5, WebGL und WebAssembly diese Rolle.

Gleichzeitig zu Adobe haben gleich mehrere große Internetkonzerne ihre eigenen Pläne für den Abschied von Flash vorgestellt. Facebook etwa fordert Entwickler auf, bei der Erstellung der Inhalte nun ganz auf Alternativen zu setzen. Flash werde aber auf der Plattform noch bis 2020 unterstützt, wenn auch mit immer mehr Einschränkungen – etwa ein Klick vor dem Start des Plugins. Google, Firefox und Microsoft wollen die Unterstützung von Flash in den eigenen Browsern Chrome, Firefox und Edge immer weiter zurückfahren. So soll etwa ab 2018 immer gefragt werden, bevor Flash ausgeführt wird. Es sei viel Arbeit nötig gewesen, aber das Internet sei nun bereit für das Ende von Flash, schreibt Google.

Wechselvolle Geschichte

Das Flash-Plugin blickt auf eine mehr als 20-jährige Geschichte zurück und wurde von der US-Firma Macromedia in die Welt gesetzt. Adobe übernahm Macromedia dann 2005 und damit auch das Plugin, das zu jener Zeit auf fast allen Rechner installiert war, um Medieninhalte darzustellen. Danach sank jedoch dessen Beliebtheit, nicht zuletzt weil der damalige Apple-Chef Steve Jobs das Plugin ablehnte und es nicht aufs iPhone beziehungsweise iPad ließ. Gleichzeitig gewannen Alternativen an Fahrt. Während Flash immer unwichtiger wurde, rückten die Sicherheitsprobleme immer mehr in den Fokus. Schließlich wurde das Plugin immer öfter blockiert und nun zieht Adobe die wohl folgerichtige Konsequenz.

Quelle : www.heise.de


Das wird aber auch echt Zeit ...

[SiLæncer]

Diesen Monat steht ausnahmsweise mal nicht der Flash Player im Rampenlicht von Adobes Patchday.

Adobe versorgt diese Monat Acrobat, Digital Editions, Experience Manager, Flash Player und Reader mit Sicherheitsupdates. Insgesamt gelten 46 Lücken als kritisch und können zur Übernahme von Computern führen.

Wer Adobe Acrobat und Reader unter macOS oder Windows nutzt, sollte sicherstellen, dass die in der Sicherheitswarnung aufgelisteten abgesicherten Versionen installiert sind. Setzen Angreifer an den kritischen Schwachstellen an, können sie bis auf wenige Ausnahmen Speicherfehler auslösen, um so Schadcode auszuführen.

Adobe Digital Editions ist unter Android, iOS, macOS und Windows bis einschließlich Version 4.5.5 verwundbar. Die Ausgabe 4.5.6 ist abgesichert. Auch hier kann ein Ausnutzen der Lücken im schlimmsten Fall die Ausführung von Schadcode bedeuten.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Auch bei Adobe ist wieder Patchday und der Tradition entsprechend patcht die Firma zu dieser Gelegenheit wieder einmal kritische Lücken im Flash Player. Auch ColdFusion und RoboHelp erhalten Updates.

Adobe mag Flash bereits für tot erklärt haben, patcht aber weiterhin fleißig Lücken in dem ungeliebten Multimedia-Framework. Diesen Monat nimmt sich die Firma zwei kritische Speicherverwaltungsfehler vor, die von Angreifern missbraucht werden können, um Schadcode aus dem Netz auf das System eines Opfers zu bringen und dort auszuführen. Betroffen sind wie üblich alle Versionen des Flash Players: Auf Windows, macOS und Linux, wobei die Lücke auf Linux-Rechnern weniger kritische Konsequenzen hat als auf den anderen Betriebssystemen. Anwender sollten sicherstellen, dass ihre Installation auf Version 27.0.0.130 aktualisiert wurde – dann sind sie laut Adobe gegen die Angriffe gefeit.

ColdFusion, Adobes alterndes Java-basiertes Framework für Web-Apps, weist ebenfalls kritische Lücken auf. Auch hier können Angreifer aus der Ferne Code einschießen, der dann ausgeführt wird, da die Software die Java-Daten nicht wie vorgesehen einliest. Administratoren, die das 2016er Release der Software einsetzen sollten Update 5 installieren, um die Lücken zu stopfen. ColdFusion 11 kann mit Update 13 abgedichtet werden. Eine der Lücken (CVE-2017-11285) wurde von einem Mitarbeiter der Sicherheitsabteilung der Deutschen Telekom entdeckt.

Eine Software, die von Adobe eher selten mit Sicherheitsupdates versorgt wird, ist die der Hilfetext-Editor RoboHelp. An diesem Patchday schließt Adobe allerdings zwei Sicherheitslücken in der Software, die von der Firma als "wichtig" klassifiziert werden und die für Cross-Site-Scripting- und Open-Redirect-Angriffe missbraucht werden können. Das Update RH2017.0.2 oder alternativ der Hotfix-Patch namens RH12.0.4.460 schließen diese Lücken. RoboHelp ist nur für Windows verfügbar.

Quelle : www.heise.de