Thema: Patchday bei Adobe

[SiLæncer]

Eine Sicherheitslücke in Adobes Flash Player ermöglicht die Remote Code Execution. Sie wird bereits aktiv von Angreifern missbraucht. Updates stehen bereit und sollten so schnell wie möglich eingespielt werden.

Für den Adobe Flash Player für Windows, Linux, Mac und Chrome OS stehen Updates bereit, die eine kritische Sicherheitslücke schließen. Betroffen sind die Adobe Flash Player Desktop Runtime (Windows, Mac OS, Linux) und der Flash Player für Google Chrome (Windows, Mac OS, Linux, Chrome OS) in allen Versionen bis 27.0.0.159 inklusive sowie der Flash Player für Microsoft Edge und Internet Explorer 11 (Windows 10 und 8.1) bis einschließlich Version 27.0.0.130.

Der ganze Artikel

Quelle : www.heise.de

Edit von Jürgen:
Die gepatchte Version ist dann die 27.0.0.170

[Jürgen]

Eben hat der Adobe Flash Player ein Update angeboten, das ich allerdings, wie hier üblich, nicht direkt angenommen sondern für beide hier verwendeten Varianten händisch installiert habe.
 
Das ergibt nun die Version 27.0.0.183, hier sowohl für NPAPI als auch für PPAPI.

Ein change log o.ä. dazu habe ich bisher nicht gefunden.

Für MS Edge und IE sehe ich dieses Update hier noch nicht, zuletzt nur das Sicherheitspudate KB4049179 vom 17.10.2017, das dem am 16.10 gemeldeten vorigen Patch gleichen dürfte.

Jürgen

[ritschibie]

Ich hab das jetzt auch von der Adobe Seite her installiert. Verwirrend ist das (wie üblich beim Flash Player) schon. Erst vor
12 Tagen ein Not-Update und jetzt ein weiteres Update: bin echt froh, wenn man das Ding nicht mehr braucht.

Hatte übrigens keinen Hinweis von Adobe deshalb ein herzliches Dankeschön an Dich! 

[Jürgen]

Bei der Gelegenheit noch kurze Hinweise:

Auf diesem Rechner gibt es gleich drei Flash Plugins, NPAPI für Firefox, PPAPI für andere alternative Browser, sowie das von MS gelieferte für Edge und IE. Um letzteres kümmert sich also Windows Update, weil das nicht anders geht, um die anderen ich mich selbst.

Die beiden Versionen für alternative Browser erscheinen praktisch zeitgleich. Ihre Update-Einstellungen sind hier nur auf Benachrichtigen, u.a. weil ich während einer längeren Sitzung nicht unterbrochen werden will. Zudem will ich ganz sicher nicht auf irgendeiner Webseite von einer Fälschung angegriffen werden.
Also werde ich auf ein entsprechendes Popup niemals direkt reagieren.

Statt dessen habe ich mir schon vor langer Zeit Kopien der direkt bei Adobe 'für andere Rechner' heruntergeladenen Online-Installer zurückgelegt. Weil sich diese bei jeder Ausführung jeweils selbst zerstören, auch trotz Umbenennung oder Schreibschutz, kopiere ich diese erst in einen anderen Ordner, bevor ich sie von da nacheinander ausführe.
Das ist allemal schneller, als jedesmal per Webseite beide Installer neu zu holen.
Unabhängig von ihrer Versions-Bezeichnung im Dateinamen laden die Installer nämlich immer tatsächlich die aktuelle Version.

Das hat hier so seit etwa Version 18 gut funktioniert, außer kürzlich beim Update auf die erste 27.*, dafür mußte ich beide Installer doch einmal neu holen, habe sie seitdem wieder je dreimal benutzt.

Abschließend weise ich noch darauf hin, daß die nach Installation erfolgende Meldung im Standardbrowser nur für die jeweilige Variante des Plugins gilt, nicht für eventuell parallel existierende weitere.
Auch per Systemsteuerung werden in der Sektion Flash Player nur die Plugins für alternative Browser geprüft und aufgezeigt, nicht die MS Variante für Edge und IE. Letztere findet man im MS Update-Verlauf.

Jürgen

[SiLæncer]

Adobe schließt in seinem Software-Portfolio einen Haufen Sicherheitslücken. Davon gelten viele als kritisch – der Löwenanteil klafft in Acrobat und Reader.

Am Adobe-Patchday im November steht nicht der Flash Player im Rampenlicht, sondern Acrobat und Reader. Die in den PDF-Anwendungen klaffendem Lücken sind 62 CVE-Nummern zugeteilt. Sicherheitsupdates stehen zum Download bereit.

Von Acrobat und Reader sind verschiedene Versionen für macOS und Windows bedroht, die Adobe in einer Sicherheitswarnung auflistet. Alle Lücken gelten als kritisch. In vielen Fällen soll es ausreichen, wenn Angreifer Opfer dazu bringen präparierte PDF-Dokumente zu öffnen. Anschließend können die Angreifer Schadcode aus der Ferne ausführen, warnt Adobe.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

In Acrobat und Reader für macOS und Windows klaffen kritische Sicherheitslücken. Abgesicherte Versionen sind verfügbar.

In Adobes Acrobat-Familie gibt es Verwundete: In verschiedenen Ausgaben von Acrobat DC und Reader klaffen vier kritische Sicherheitslücken. Adobe ordnet die Schwachstellen mit zweithöchster Priorität ein.

Betroffen sind diverse Versionen unter macOS und Windows. Diese und die abgesicherten Ausgaben listet Adobe in einer Sicherheitswarnung auf. Nutzer können innerhalb der Anwendungen unter dem Punkt "Hilfe" nach Aktualisierungen suchen, die sich automatisch installieren.

Nutzen Angreifer die Schwachstellen aus, können sie Schadcode ausführen oder sich höhere Nutzerrechte aneignen. Weitere Details zu Angriffsszenarien sind derzeit nicht bekannt.

Weitere bedrohte Produkte

Darüber hinaus veröffentlicht Adobe Sicherheitsupdates für Experience Mannager für alle Plattformen. Darin klaffen zwei XSS-Lücken, die Adobe als "wichtig" und "moderart" einstuft. Infos zu den bedrohten und abgesicherten Ausgaben finden sich in einer Sicherheitswarnung.

Für den Flash Player gibt es an diesem Patchday kein Update. Dieser hat bereits Anfang des Monats ein Notfall-Update erhalten. Der Grund dafür war, dass Angreifer eine Lücke aktiv ausnutzen.

Quelle : www.heise.de

[SiLæncer]

Es gibt neue Sicherheitsupdates für verschiedene Adobe-Produkte. Die Patches schließen unter anderem kritische Lücken in Dreamweaver und Flash.

Angreifer könnten Nutzer von Adobe Connect, Flash und Dreamweaver attackieren und Schadcode ausführen. Als besonders kritisch gelten zwei Sicherheitslücken im Flash Player und eine Lücke in Dreamweaver.

Von den Lücken in Flash sind alle Versionen bis einschließlich 28.0.0.161 unter Chrome OS, Linux, macOS und Windows bedroht. Die Ausgabe 29.0.0.113 ist abgesichert. Wie Angreifer Attacken einleiten können, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass ein Angriff aus der Ferne und ohne Authentifizierung klappt.

Welche Flash-Version auf dem eigenen Computer läuft, kann man auf einer Webseite von Adobe prüfen. Die abgesicherten Ausgaben findet sich über die Download-Webseite. An dieser Stelle sollte man aufpassen: Standardmäßig ist weitere Software ausgewählt, die neben dem Flash Player auf dem Computer landet – diese kann man manuell abwählen. Der Webbrowser Chrome aktualisiert Flash automatisch. Unter Windows 8.1 und 10 tun dies auch Edge und Internet Explorer 11. Das Ende des Flash Players ist indes beschlossen: Ende 2020 soll Schluss sein.

Dreamweaver und Connect

Adobe Dreamweaver CC 18.0 und alle vorigen Versionen unter Windows sind für einen OS-Command-Injection-Angriff anfällig. Darüber könnten Angreifer Code mit Rechten des Opfers ausführen. In der Ausgabe 18.1 hat Adobe die Lücke geschlossen.

Nutzen Angreifer zwei Schwachstellen in Connect aus, könnten sie unter gewissen Voraussetzungen einen XSS-Angriff ausführen und Dateien löschen, beziehungsweise die Anwendung vom Computer entfernen. Davon sind alle Versionen bis einschließlich 9.7 auf allen Plattformen bedroht. Die Ausgabe 9.7.5 schafft Abhilfe.

Quelle : www.heise.de

[SiLæncer]

Adobe patcht sich im April quer durch das eigene Software-Portfolio. Kritische Lücken klaffen in ColdFusion und Flash Player.

Ab sofort stellt Adobe Sicherheitsupdates für ColdFusion, Digital Editions, Experience Manager, Flash, InDesign und PhoneGap Push Plugin zum Download bereit. Wer diese Software nutzt, sollte die aktualisierten Versionen zügig installieren.

Von den als kritisch geltenden Lücken im Flash Player sind alle Versionen bis einschließlich 29.0.0.113 unter ChromeOS, Linux, macOS und Windows bedroht. Nutzt eine Angreifer die Schwachstellen erfolgreich aus, soll er Schadcode mit den Nutzerrechten eines Opfers ausführen können. Details zum Angriffsszenario sind derzeit nicht bekannt. Aufgrund des Schweregrads der Lücken ist davon auszugehen, dass ein Angriff aus der Ferne stattfinden kann. Die Ausgabe 29.0.0.140 ist abgesichert.

Um herauszufinden welche Version auf dem eigenen Computer installiert ist, genügt der Besuch einer Adobe-Webseite. Wer den Flash Player herunterlädt muss aufpassen: Dabei landet standardmäßig noch weitere Software auf dem Computer. Diese Option kann man manuell abwählen. Unter Windows 8.1 und 10 bekommen Internet Explorer 11 und Edge die aktuelle Flash-Ausgabe automatisch. Bei Chrome ist das auch der Fall. Ende 2020 ist dann Schluss mit der Flash-Patcherei, dann Adobe stellt die Software ein.

Noch mehr Sicherheitspatches

In ColdFusion klaffen unter anderem kritische Lücken. Davon sind laut Adobe alle Plattformen betroffen. ColdFusion (2016 release) Update 6 und ColdFusion 11 Update 14 sind abgesichert. Alle vorigen Ausgaben sollen verwundbar sein.

Darüber hinaus serviert Adobe noch Sicherheitsupdates für Digital Editions, Experience Manager, InDesign und PhoneGap Push Plugin. Diese Updates sind größtenteils als "wichtig" eingestuft.

Quelle : www.heise.de

[SiLæncer]

Adobe hat wichtige Sicherheitsupdates für verschiedene Produkte veröffentlicht. Die Lücken in Flash gelten als kritisch.

Der Flash Player von Adobe ist unter Chrome OS, Linux und macOS verwundbar. Angreifer sollen die als kritisch eingestuften Lücken aus der Ferne ausnutzen können, um Schadcode auszuführen. In so einem Fall gilt ein Computer als kompromittiert. Aufgrund des Bedrohungsgrades ist davon auszugehen, dass erfolgreiche Übergriffe ohne Authentifizierung möglich sind.

Die aktuelle Version 29.0.0.171 ist abgesichert – alle vorigen Ausgaben sind Adobe zufolge für Angriffe anfällig. Um zu prüfen, welche Version auf dem eigenen Computer installiert ist, muss man lediglich eine Adobe-Webseite besuchen.

Beim Herunterladen des Flash Players muss man aufpassen, denn standardmäßig ist zusätzliche Software ausgewählt – diese kann man aber abwählen. Unter Windows 8.1 und 10 bekommen Internet Explorer 11 und Edge die aktuelle Flash-Ausgabe automatisch. Bei Chrome ist das auch der Fall. Ende 2020 ist Schluss mit der Flash-Patcherei, dann stellt Adobe die Software ein.

Weitere Sicherheitslücken

In Creative Cloud Desktop stopft Adobe mit der Version 4.5.0.331 für macOS und Windows eine kritische und zwei wichtige Sicherheitslücken. Darüber könnten sich Angreifer beispielsweise höhere Nutzerrechte verschaffen. Die Schwachstellen finden sich in den Ausgaben bis einschließlich 4.4.1.298. Die aktualisierte Version sollte automatisch per Auto-Update-Funktion auf Computer kommen.

Nutzer von Adobe Connect sollten die reparierte Version 9.7.5, die für alle Plattformen verfügbar ist, installieren. In vorige Fassungen findet sich eine Sicherheitslücke, über die Angreifer sich Zugriff auf Informationen verschaffen könnten.

Quelle : www.heise.de

[SiLæncer]

Adobe hat Sicherheitsupdates für Flash veröffentlicht. Windows-Nutzer sollten diese schnellstens installieren.

Derzeit attackieren Angreifer gezielt den Flash Player unter Windows. Nutzen Angreifer verschiedene Sicherheitslücken aus, sollen sie aus der Ferne ohne Authentifizierung Schadcode mit den Rechten des Opfers auf Computern ausführen können, zeigt Adobe in einer Sicherheitswarnung auf.

Insgesamt klaffen vier Schwachstellen in den Flash-Player-Versionen bis einschließlich 29.0.0.171. Zwei Lücken gelten als krtitisch. Davon sind Chrome OS, Linux, macOS und Windows bedroht. Die Entwickler haben die Schwachstellen in der Ausgabe 30.0.0.113 geschlossen.

Auf einer Adobe-Webseitekann man prüfen, welche Version auf dem eigenen Computer installiert ist. Standardmäßig ist beim Download von Flash weitere Software ausgewählt. Diese kann man manuell abwählen. Unter Windows 8.1 und 10 bekommen Internet Explorer 11 und Edge die aktuelle Flash-Ausgabe automatisch. Bei Chrome funktioniert das auch so.

Angriff nicht ohne Weiteres möglich

Bevor Angreifer Schadcode auf Computern ausführen können, müssen sie dem Opfer eine mit Flash-Inhalten präpariertes Office-Dokumente unterjubeln. Anschließend muss das Opfer dieses noch öffnen. Erst dann geht eine Attacke erfolgreich vonstatten.

Quelle : www.heise.de

[SiLæncer]

Es gibt wichtige Sicherheitsupdates für Adobe Acrobat, Creative Cloud Desktop, Experience Manager, Flash und Reader.

In verschiedenen Anwendungen von Adobe klaffen zum Teil kritische Sicherheitslücken, für die es nun Patches gibt. Wer betroffene Software nutzt, sollte die abgesicherten Versionen zügig installieren.

Acrobat-Lücken

Verschiedene Ausgaben von Acrobat und Reader sind über als kritisch eingestufte Schwachstellen unter macOS und Windows angreifbar. Nutzen Angreifer die Lücken aus, könnten Sie Adobe zufolge Speicherfehler initiieren und im Anschluss Schadocde ausführen.

Die betroffenen Versionen listet Adobe neben den reparierten Ausgaben in einer Sicherheitswarnung auf. Die Anwendungen sollten sich automatisch aktualisieren. Alternativ kann man ein Update unter dem Menüpunkt "Hilfe" manuell anstoßen. Admins können die Installationsdateien auch herunterladen.

Flash & Co.

Für den Flash Player hat der Software-Hersteller die fehlerbereinigte Version 30.0.0.134 für Chrome OS, Linux, macOS und Windows veröffentlicht – alle vorigen Ausgaben sollen verwundbar sein. Das Update auf den aktuellen Flash Player 30.0.0.154 ordnet Adobe als "wichtig" ein. Setzen Angreifer an den Lücken an, könnten sie sich unter anderem höhere Rechte aneignen und Informationen abziehen.

Drei Sicherheitslücken in Experience Manager hat Adobe mit dem Bedrohungsgrad "moderat" eingestuft. Davon sind verschiedene Ausgaben für alle Plattform betroffen, warnt Adobe. Creative Cloud Desktop Application unter Windows ist anfällig für eine Privilege-Escalation-Attacke. Die aktuelle Version 4.5.5.342 ist abgesichert und steht ab sofort zum Download bereit. Unter dem Reiter "Allgemein" kann man überprüfen, welche Ausgabe auf dem eigenen Computer installiert ist.

Quelle : www.heise.de

[SiLæncer]

Adobe hat wichtige Sicherheitsupdates veröffentlicht, die unter anderem kritische Lücken schließen.

Die Middleware ColdFusion von Adobe ist unter anderem über mehrere als kritische eingestufte Sicherheitslücken angreifbar. Für den Flash Player gibt es eine neue Version, in der die Entwickler ein Informationsleck gestopft haben. Reparierte Version stehen zum Download bereit. Diese sollten Anwender zügig installieren.

Nutzen Angreifer die Lücken in ColdFusion aus, könnten sie zum Beispiel Informationen abziehen, Dateien überschreiben und sogar Schadcode einschleusen und ausführen. In der Sicherheitswarnung listet Adobe die CVE-Nummern der Lücken auf. Dort findet man auch die betroffenen Versionen. Diese sind unter allen Plattformen angreifbar.

Abgesichert sind die Ausgaben ColdFusion 2018 Update 1, 2016 Update 7 und ColdFusion 11 Update 15. Damit die Patches wirken, müssen Andwender je nach ColdFusion-Version ein aktuelles Java Development Kit (JDK) installiert haben. Näheres dazu steht in der Sicherheitswarnung. Zusätzlich verweist Adobe auf allgemeine Sicherheitshinweise für ColdFusion 11, ColdFusion 2016 und ColdFusion 2018.

Flash

Der Flash Player ist für Chrome OS, Linux, macOS und Windows in der aktuellen Version 31.0.0.108 erschienen. Darin haben die Entwickler eine Sicherheitslücke geschlossen, über die Angreifer unberechtigt auf Informationen auf einem Computer zugreifen könnten. Adobe zufolge sind alle vorigen Ausgaben für derartige Angriffe anfällig. Sie stufen das Sicherheitsupdate als "wichtig" ein.

Auf einer Webseite von Adobe kann man prüfen, welche Version installiert ist. Auf der offiziellen Downloadseite findet man die aktuelle Ausgabe. Wer Windows 8.1 oder 10 mit Internet Explorer 11 oder Edge nutzt, bekommt das Sicherheitsupdate automatisch serviert. Das ist auch bei Chrome der Fall.

Quelle : www.heise.de

[SiLæncer]

Ein Sicherheitsupdate für Flash, das keins ist, und die Abwesenheit von Reader-Patches sorgen bei Adobe für einen eher untypischen Patchday.

An seinem monatlichen Patchday stopft Adobe Sicherheitslücken in Digital Editions, dem Adobe Experience Manager, in seiner Technical Communications Suite und in Framemaker. Ein Flash-Update ist auch dabei, schließt aber entgegen seiner Namensgebung keine Sicherheitslücken. Patches für Adobe Reader gibt es keine, allerdings hatte die Firma erst Anfang des Monats Reader-Patches außerhalb des normalen Patch-Zykluses verteilt.

Die Ebook-Software Digital Editions enthält eine kritische Sicherheitslücke, über die ein Angreifer dem Anwender Schadcode unterschieben und im Kontext dessen Nutzerkontos ausführen kann. Der Angreifer hätte damit Zugriff auf die selben Daten wie der Anwender. Betroffen sind die Versionen für Windows, macOS und iOS; Version 4.5.9 der Software behebt das Problem. Sowohl die Adobe Technical Communications Suite als auch das Dokumentenverarbeitungsprogramm Framemaker haben ein Problem mit ihrem Installer, das dazu missbraucht werden kann, die Rechte von vorhandenem Schadcode auszuweiten.

Mit neuen Versionen des Adobe Experience Manager schließen die Entwickler außerdem mehrere kleinere Sicherheitslücken in dieser Software. Auch Flash erhält Updates, die bei Adobe als "Sicherheitsupdates" gelistet sind. Laut den Entwicklern beheben sie allerdings nur "Funktions- und Performance-Bugs" auf Windows, macOS, Linux und Chrome OS.

Quelle : www.heise.de

[SiLæncer]

Sicherheitsupdates von Adobe schließen Lücken in Acrobat, Flash, Photoshop CC und Reader. Keine Schwachstelle gilt als "kritisch".

Setzen Angreifer an Sicherheitslücken in Acrobat, Flash, Photoshop CC und Reader an, könnten sie auf eigentlich abgeschottete Informationen zugreifen. Ab sofort verfügbare Patches schließen die Schwachstellen. Adobe hat alle Updates mit der Priorität "wichtig" eingestuft.

Der Flash Player von Adobe ist bis einschließlich Version 31.0.0.122 unter Chrome OS, Linux, macOS und Windows angreifbar, warnt das Unternehmen in einer Mitteilung. Die reparierte Ausgabe 31.0.0.148 schließt das Schlupfloch (CVE-2018-15978). Auf einer Website von Adobe kann man prüfen, welche Version auf dem eigenen Computer installiert ist. Die aktuelle Ausgabe findet man auf der offiziellen Download-Seite. Unter Windows 8.1 und 10 holen sich Internet Explorer 11 und Edge das Update automatisch. Auch Chrome macht das so.

PoC-Code öffentlich

Acrobat und Reader sind ausschließlich unter Windows bedroht. Die Versionsnummern der abgesicherten Ausgaben listet Adobe in einer Warnung auf. Nutzt ein Angreifer die Schwachstelle (CVE-2018-15979) erfolgreich aus, soll er Zugriff auf den Hash vom NTLM-Passwort haben. Proof-of-Concept-Code soll bereits öffentlich sein – Angriffe gibt es offenbar noch nicht.

Photoshop CC ist unter macOS und Windows bis einschließlich der Version 19.1.6 angreifbar. Nutzer sollten auf die Ausgabe 19.1.7 oder 20.0 aktualisieren. Auch hier handelt es sich um eine Information-Disclosure-Lücke (CVE-2018-15980), wie aus dem Adobe Security Bulletin hervorgeht.

Quelle : www.heise.de

[SiLæncer]

Eigentlich veröffentlicht Adobe nur ein Mal im Monat Sicherheitsupdates für seine Produkte. Für eine gefährliche Flash-Lücke macht der Hersteller eine Ausnahme.

Adobes Flash Player ist über eine als kritisch eingestufte Sicherheitslücke (CVE-2018-15981) angreifbar. Angreifer sollen die Type-Confusion-Schwachstelle aus der Ferne ausnutzen und Code mit den Nutzerrechten eines Opfers ausführen können. Ist ein Opfer Admin, könnten Angreifer die komplette Kontrolle über einen gefährdeten Computer erlangen.

Davon sind die Flash-Versionen bis einschließlich 31.0.0.148 unter Chrome OS, Linux, macOS und Windows bedroht. Die aktuelle Ausgabe 31.0.0.153 ist abgesichert, zeigt Adobe in einer Sicherheitswarnung auf. Aufgrund des Schweregrads der Lücke sollten Nutzer das Update zeitnah installieren.

Welche Version auf dem eigenen Computer läuft, kann man auf einer Website des Software-Herstellers prüfen. Auf der offiziellen Downloadseite findet man die reparierte Version. Der Browser Chrome aktualisiert Flash automatisch. Unter Windows 8.1 und Windows 10 holen sich Edge und Internet Explorer 11 die aktuelle Ausgabe selbstständig.

Quelle : www.heise.de