Thema: Patchday bei Adobe

[SiLæncer]

Es gibt jede Menge Sicherheitsupdates für Adobe Acrobat und Reader, die unter anderem 39 kritische Lücken schließen.

Gewöhnlich versorgt Adobe am monatlichen Patchday insbesondere den dauerkranken Patienten Flash mit Sicherheitspatches. Doch dieser hat aufgrund von aktiven Angriffen bereits Anfang Dezember eine Sonderbehandlung bekommen und geht nun leer aus. Dafür holt Adobe bei Acrobat und Reader mächtig aus und schließt in den Anwendungen insgesamt 87 Sicherheitslücken. Davon gelten 39 Schwachstellen als kritisch.

Wer die PDF-Anwendungen nutzt, sollte zügig die Sicherheitswarnung von Adobe aufrufen und dort Ausschau nach den abgesicherten Versionen halten. In der Warnung findet man auch die Versionsnummern der bedrohten Ausgaben. Acrobat und Reader sind unter macOS und Windows verwundbar. Die Updates sollten sich in den Standardeinstellungen automatisch installieren. Ist das nicht der Fall, können Nutzer eine Aktualisierung unter dem Menüpunkt "Hilfe" anstoßen.

Das Ausnutzen vom Großteil der Schwachstellen versetzt entfernte Angreifer in die Lage, Schadcode auf Computern ausführen zu können. Auch das Leaken von Informationen im Zuge einer Attacke ist Adobe zufolge vorstellbar.

Quelle : www.heise.de

[SiLæncer]

Adobe patcht seine PDF-Anwendungen außer der Reihe. Über ein Schlupfloch könnten Angreifer Schadcode ausführen.

Es gibt wichtige Sicherheitsupdates für Adobe Acrobat und Reader. Die PDF-Anwendungen sind über zwei als kritisch eingestufte Schwachstellen unter macOS und Windows attackierbar. Abgesicherte Versionen stehen zur Installation bereit.

In den Standardeinstellungen sollten sich die Anwendungen automatisch aktualisieren. Passiert das nicht, kann man den Vorgang unter dem Menüpunkt "Hilfe" anstoßen. Für eine effizientere Verteilung können Admins Enterprise Installer von Acrobat und Reader herunterladen und die Updates über verschiedene Methoden – beispielsweise SCUP/SCCM oder SSH – installieren.

Die Entwickler haben die Lücken in Acrobat DC/Reader DC (Continuous Track) 2019.010.20069, Acrobat 2017/Reader DC 2017 2017.011.30113 und Acrobat DC/Reader DC (Classic 2015) 2015.006.30464 geschlossen. Alle vorigen Versionen sind einer Warnmeldung von Adobe zufolge von den Sicherheitslücken betroffen.

Remote Code Execuion

Eine Schwachstelle (CVE-2018-16011) sollen Angreifer ohne Authentifizierung aus der Ferne ausnutzen können, um auf Computern Schadcode mit den Nutzerrechten eines Opfers auszuführen. Die zweite Lücke (CVE-2018-16018) könnten Angreifer zum Umgehen von Sicherheitsmechanismen ausnutzen. Weitere Details dazu sind derzeit nicht bekannt. Die Entdeckung von beiden Schwachstellen geht auf Sicherheitsforscher von Trend Micros Zero Day Initiative zurück.

Quelle : www.heise.de

[SiLæncer]

Adobe hat Sicherheitsupdates für Connect und Digital Editions veröffentlicht. Bei Flash geht es diesen Monat um etwas anderes.

Connect und Digital Editions von Adobe sind verwundbar – die Sicherheitslücken gelten aber nicht als kritisch. Die als "wichtig" eingestuften Updates sind ab sofort verfügbar.

Connect ist einer Sicherheitswarnung von Adobe zufolge für alle Plattformen angreifbar. Die Ausgabe 10.1 ist abgesichert. Bedroht sollen alle Versionen bis einschließlich 9.8.1 sein. Nutzt ein Angreifer die Schwachstelle (CVE-2018-19718) aus, könnte er Details von Sessions auslesen (Session Token Exposure).

Digital Editions ist in der Version 4.5.10 für Android, iOS, macOS und Windows abgesichert. Alle vorigen Ausgaben sollen von der Lücke (CVE-2018-12817) betroffen sein. Ein erfolgreiches Ausnutzen der Schwachstelle soll zu einem Datenleck führen, warnt Adobe.

Was ist mit Flash?

Der Flash Player bekommt auch an diesem Patchday ein Update, dieses schließt aber ungewöhnlicherweise keine Sicherheitslücke, sondern es soll die Performance steigern.

Die aktuelle Version 32.0.0.114 steht für Chrome OS, Linux, macOS und Windows zum Download bereit. Unter Windows 8.1 und 10 holen sich Internet Explorer 11 und Edge das Update automatisch. Auch Chrome macht das so.

Quelle : www.heise.de

[SiLæncer]

Adobe Acrobat, ColdFusion und Reader sind über kritische Sicherheitslücken angreifbar. Updates schaffen Abhilfe.

Angreifer könnten Computer mit der Adobe-Software Acrobat, ColdFusion, Creative Cloud Desktop, Flash und Reader attackieren und schlimmstenfalls Schadcode ausführen. Der Softwarehersteller hat nun abgesicherte Versionen veröffentlicht.

Mehrere Lücken in Acrobat und Reader gelten als kritisch. In allen Fällen könnten Angreifer aus der Ferne ohne Authentifizierung Speicherfehler auslösen und so Schadcode auf Computer schieben und ausführen. Davon sind verschiedene Versionen unter macOS und Windows betroffen. Die reparierten Ausgaben listet Adobe in einer Warnmeldung auf.

ColdFusion ist auf allen Plattformen bedroht. Wer die Middleware nutzt, sollte sicherstellen, dass die abgesicherten Versionen ColdFusion 11 Update 16, ColdFusion 2016 Update 8 oder ColdFusion 2018 Update 2 installiert sind. Ansonsten gibt es auch hier Anknüpfungspunkte für Schadcode, warnt Adobe in einem Beitrag.

Flash-Lücke nicht kritisch

Die Sicherheitsupdates für Flash und Creative Cloud Desktop stuft Adobe als "wichtig" ein. Flash könnte Daten leaken und die Lücke in Creative Cloud Desktop könnte Angreifern höhere Rechte verschaffen.

Quelle : www.heise.de

[SiLæncer]

Insgesamt 10 Produkte hat Adobe am Patchday mit teils wichtigen bis kritischen Updates versorgt.

Im Zuge des Patchdays hat Adobe Sicherheitsupdates für insgesamt 10 Produkte veröffentlicht. In neun von ihnen wurden Schwachstellen behoben, die das Unternehmen als "wichtig" bis "kritisch" einstuft. Hinzu kommt ein Update mit der Einstufung "mittel". Exploits der Schwachstellen in freier Wildbahn sind Adobe bislang nicht bekannt. Dennoch sollten Nutzer der genannten Produkte die bereitstehenden Updates zügig einspielen.

Die als "kritisch" eingestuften Lücken stecken in Adobe Acrobat und Reader, Bridge CC, Experience Manager Forms, Flash Player, InDesign, Shockwave Player und XD CC. Angreifer könnten sie laut Beschreibung in Adobes Sicherheitshinweisen missbrauchen, um beliebigen Code im Kontext des aktuellen Nutzers auszuführen. Eine kurze Recherche der in den Hinweisen aufgelisteten CVE-Nummern zeigt, dass dies vielfach ohne vorherige Authentifizierung aus der Ferne möglich ist.

Eine Lücke mittleren Bedrohungsgrads haben die Adobe-Entwickler in Dreamweaver geschlossen.

Weitere Details zu den betroffenen Versionen sowie die Download-Links zu den Updates können Nutzer den in dieser Meldung verlinkten Sicherheitshinweisen entnehmen. Zusätzlich hat Adobe auch eine Übersicht über alle aktuellen Advisories veröffentlicht.

Quelle : www.heise.de

[SiLæncer]

Zum Patchday hat Adobe zahlreiche Sicherheitsprobleme in Acrobat/Reader, Flash Player und Media Encoder beseitigt.

Adobe hat zahlreiche Sicherheitslücken in Acrobat und Reader (für Windows und macOS), im Flash Player (Windows, macOS, Linux und Chrome OS) sowie im Media Encoder geschlossen. Sie gelten durchweg als "Important" bis "Critical" und könnten von Angreifern missbraucht werden, um beliebigen Code im Kontext des aktuellen Benutzers auszuführen. Anwender sollten die bereitgestellten Updates zügig einspielen.

In mindestens einem Fall besteht die Gefahr eines Angriffs aus der Ferne: Die im Sicherheitshinweis zum Media Encoder aufgeführte kritische Lücke CVE-2019-7842 hat Adobe mit dem Hinweis "Remote Code Execution" versehen.

Details zu den betroffenen Versionen sowie die Download-Links zu den Updates können Nutzer den Security Bulletins zu Acrobat/Reader, Flash Player und Media Encoder entnehmen. Zusätzlich hat Adobe alle Bulletins in einem Blogeintrag verlinkt.

Quelle : www.heise.de

[SiLæncer]

Für verschiedene Adobe-Anwendungen gibt es wichtige Sicherheitsupdates, die kritische Lücken schließen.

Wer Adobe Campaign, ColdFusion oder Flash Player nutzt, sollte die Anwendungen auf den aktuellen Stand bringen und somit absichern. Die Anwendungen sind über als "kritisch" eingestufte Sicherheitslücken attackierbar. Im schlimmsten Fall sollen Angreifer Schadcode auf Computern von Opfern ausführen können.

Jetzt updaten

Von Campaign ist die Version 19.1.1-9026 für Linux und Windows abgesichert. Alle vorigen Ausgaben sind laut einer Warnung von Adobe gefährdet. Neben Schadcode-Attacken könnten Angreifer zudem unter Umständen auf eigentlich abgeschottete Informationen zugreifen. Das Sicherheitsupdate schließt mehrere Lücken in Campaign.

Der Flash Player ist unter Chrome OS, Linux, macOS und Windows verwundbar, führt Adobe in einem Beitrag zu der Schwachstelle aus. Die Version 32.0.0.207 ist abgesichert. Auf einer Webseite von Adobe kann man prüfen, welche Ausgabe auf dem eigenen Computer installiert ist. Der Webbrowser Chrome bekommt das Sicherheitsupdate automatisch. Unter Windows 8.1 und 10 ist das auch bei Internet Explorer 11 und Edge der Fall. Leidgeplagte müssen noch bis Ende 2020 durchhalten – dann stellt Adobe die Software ein.

Von Adobes App-Server ColdFusion sind die Versionen 11 Update 19, 2016 Update 11 und 2018 Update 4 repariert. Bedroht sind alle Plattformen. Es sind aber nicht alle Ausgaben von den Lücken betroffen. Infos dazu führt Adobe in seinem Sicherheitscenter auf.

Quelle : www.heise.de

[SiLæncer]

Adobe schlägt sich diesen Monat nicht mit kritischen Sicherheitslücken herum. Updates gibt es aber trotzdem.

Der Softwarehersteller Adobe hat abgesicherte Versionen seiner Anwendungen Bridge CC, Dreamweaver und Epxerience Manager veröffentlicht. Alle Updates sind als "wichtig" eingestuft – keine der Sicherheitslücken gilt als kritisch.

Adobe Bridge CC ist unter Windows und macOS verwundbar. Hier schafft die Ausgabe 9.1 Abhilfe, alle vorigen Versionen sollen angreifbar sein, führt Adobe in einer Mitteilung aus. Setzt ein Angreifer erfolgreich an der Lücke (CVE-2019-7963) an, könnte er unter Umständen auf eigentlich abgeschottete Informationen zugreifen.

Dreamweaver ist in den Versionen bis einschließlich 18.0 und 19.0 unter Windows angreifbar. In einer Warnung gibt Adobe an, dass sie die Schwachstelle (CVE-2019-7956) in den Ausgaben 2018 Release und 2019 Release geschlossen haben.

Experience Manager ist über mehrere Sicherheitslücken (CVE-2019-7953, CVE-2019-7954, CVE-2019-7955) attackierbar. Auch hier könnten Informationen leaken. Hinweise zu den bedrohten und abgesicherten Versionen listet Adobe in einem Beitrag auf.

Quelle : www.heise.de

[SiLæncer]

Adobe hat verschiedene Anwendungen wie Creative Cloud, Experience Manager und Photoshop abgesichert.

Die Adobe-Anwendungen Acrobat und Reader, After Effects CC, Character Animator CC, Creative Cloud Desktop Application, Experience Manager, Photoshop CC, Premiere CC und Prelude CC sind über teilweise als "kritisch" eingestufte Sicherheitslücken attackierbar. Sicherheitsupdates sind verfügbar.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Adobes Flash Player ist über eine kritische Sicherheitslücke angreifbar. Auch Application Manager ist verwundbar.

Am Patchday im September stellt Adobe wichtige Sicherheitsupdates für Application Manager und Flash bereit.

Die zwei Flash-Lücken (CVE-2019-8069, CVE-2019-8070) sind als "kritisch" eingestuft. In beiden Fällen könnte eine erfolgreiche Ausnutzung die Ausführung von Schadcode mit den Rechten des Opfers nach sich ziehen. Ist ein Opfer in so einem Fall Admin, gilt ein Computer als vollständig kompromittiert.

Betroffen von den Flash-Lücken sind Chrome OS, Linux, macOS und Windows. Abgesichert ist der Flash Player 32.0.0.255. Alle vorigen Ausgaben sollen angreifbar sein. Unter Windows 8.1 und 10 holen sich Edge und Internet Explorer die Aktualisierung automatisch. Das ist auch bei Chrome der Fall.

In den vorangegangenen Patchdays von Adobe hat der eigentliche Dauergast Flash schon länger kein Sicherheitsupdate mehr bekommen. Ab Ende 2020 ist dann endgültig Schluss damit und Adobe stellt den Flash Player ein.

Noch eine reparierte Version

Das Sicherheitsupdate (CVE-2019-8076) für Application Manager Installer für Windows ist als "wichtig" eingestuft. Zwar ist auch hier die Ausführung von Schadcode vorstellbar, wie es aussieht, müsste ein Angreifer dafür aber eine präparierte DLL-Datei auf verwundbare Systeme bringen. Abgesichert ist die Version Application Manager Installer 2019 Release.

Quelle : www.heise.de

[SiLæncer]

Adobes Multimedia-Anwendungen Animate, Bridge, Illustrator und Media Endocder sind attackierbar. Updates schließen mehrere Schwachstellen.

Wer Software von Adobe nutzt, sollte sicherstellen, dass diese auf dem aktuellen Stand ist. Ansonsten könnten Angreifer, wenn die Voraussetzungen stimmen, Schadcode auf Windows- und macOS-Computer schieben und ausführen.

In Illustrator CC sind zwei Sicherheitslücken (CVE-2019-8247, CVE-2019-8248) als "kritisch" eingestuft. Das Update für eine weitere Lücke (CVE-2019-7962) ist mit der Einschätzung "wichtig" versehen. Nach erfolgreichen Attacken könnten Angreifer mit erhöhten Rechten dastehen oder sogar Schadcode ausführen. Wie Angriffe ablaufen könnten, führt Adobe in einer Warnmeldung zum jetzigen Zeitpunkt nicht aus. Abgesichert ist die Version 24.0. Alle vorigen Ausgaben sollen unter macOS und Windows bedroht sein.

In Media Encoder gilt ebenfalls eine Schwachstelle (CVE-2019-8246) als kritisch und vier weitere als wichtig. Klappt eine Attacke könnten Angreifer eigenen Code ausführen oder auf Informationen im Kontext des angemeldeten Nutzers zugreifen, warnt Adobe in einem Beitrag. Auch hier sind macOS und Windows betroffen. In der Version 14.0 haben die Entwickler die Lücken geschlossen.

Nicht kritisch, aber wichtig

Als wichtig eingestufte Patches schließen zwei Lücken (CVE-2019-8239, CVE-2019-8240) in Bridge CC. Im Zuge einer erfolgreichen Attacke könnten Angreifer Daten leaken, führt Adobe in einer Sicherheitswarnung aus. Die Ausgabe 9.1 für macOS und Windows ist abgesichert.

Abschließend hat Adobe noch die aktualisierte Windows-Version von Animate CC 2019 19.2.1 veröffentlicht. Wie aus einem Beitrag von Adobe hervorgeht, haben die Entwickler darin eine Lücke (CVE-2019-7960) zum Erschleichen von erhöhten Nutzerrechten geschlossen.

Quelle : www.heise.de

[SiLæncer]

Adobe hat wichtige Windows-, macOS- und Linux-Updates für Acrobat und Reader, Brackets, ColdFusion und Photoshop bereitgestellt.

Adobe hat Sicherheitsupdates für Acrobat und Reader, den HTML-Editor Brackets, ColdFusion und Photoshop veröffentlicht. Anwender sollten diese möglichst zeitnah sowohl unter Windows als auch unter macOS und Linux einspielen, da der Hersteller sie durchweg als "Important" bis "Critical" einstuft.

Die Lücken, die durch die Updates geschlossen wurden, könnten laut Adobe unter anderem zur Rechteerweiterung sowie zum Ausführen beliebigen Codes im Kontext des aktuell angemeldeten Nutzers missbraucht werden.

Kritische Lücken in Acrobat, Brackets und Photoshop

Recht umfangreiche Listen kritischer Sicherheitslücken führt Adobe in seinen Security Advisories zu Acrobat und Reader (Advisory APSB19-55), Brackets (Advisory APSB19-57) sowie Photoshop (Advisory APSB19-56) auf.

Verwundbar sind demnach einige Produkte aus den Acrobat-/Reader-Versionsreihen DC, 2015 und 2017 (Windows und macOS), alle Brackets-Versionen bis einschließlich 1.14 (Windows, Linux und macOS) sowie Photoshop CC (20.0.7 und früher sowie 21.0.1 und früher) für Windows und macOS. Updatehinweise nebst Download-Links sind den Advisories zu entnehmen.

Update 7 bringt mehr Sicherheit für ColdFusion

Nicht kritisch, aber immerhin wichtig ist das im Advisory APSB19-58 beschriebene Update für ColdFusion. Von der darin aufgeführten Schwachstelle betroffen ist ColdFusion2018 bis inklusive Update 6 für alle unterstützten Plattformen. Das Update 7 behebt sie.

Quelle : www.heise.de

[SiLæncer]

Achtung: Angesichts mehrerer kritischer Lücken in Illustrator CC 2019 und wichtiger Updates für AEM sollten Nutzer ihre Software zügig aktualisieren.

um Patch Tuesday hat Adobe Sicherheitsupdates veröffentlicht, die mehrere Lücken in Illustrator CC für Windows sowie in der Content-Management-Lösung Experience Manager (AEM) für alle Plattformen schließen.

Mehrere kritische Lücken in Illustrator CC 2019

Vor allem Illustrator-Nutzer sollten zügig, updaten, da Angreifer insgesamt fünf kritische Lücken (CVE-2020-3710, CVE-2020-3711, CVE-2020-3712, CVE-2020-3713, CVE-2020-3714) in der Software missbrauchen könnten, um beliebigen Code im Kontext des angemeldeten Nutzers auszuführen. In einem Security Advisory zu Illustrator gibt Adobe an, dass alle Versionen von Illustrator CC 2019 bis einschließlich Version 24.0 verwundbar seien.

Updates können Nutzer wie gewohnt über die Creative-Cloud-Updatefunktion abrufen.

Wichtige Updates auch für AEM

Aber auch AEM-Anwender sollten das Aktualisieren ihrer Software nicht allzu lange aufschieben. Vier Sicherheitslücken, von denen drei als "Important" (CVE-2019-16466, CVE-2019-16467, CVE-2019-16469) und eine als "Moderate" (CVE-2019-16468) eingestuft wurden, könnten es Angreifern unter bestimmten Voraussetzungen ermöglichen, sensible Informationen abzugreifen.

Grundsätzlich angreifbar sind laut Adobes Advisory zu AEM Versionen ab 6.0 bis einschließlich 6.5. Welche Version welche Lücke(n) aufweist, ist dem Advisory zu entnehmen – ebenso wie die Download-Links zu den jeweiligen Updates.

Quelle : www.heise.de

[SiLæncer]

Es gibt wichtige Sicherheitsupdates für viele Adobe-Produkte. Der Großteil der Lücken gilt als kritisch.

An diesem Patchday verarztet Adobe seine Software Acrobat und Reader, Digital Editions, Experience Manager, Flash und Framemaker. In den meisten Fällen könnten Angreifer Computer direkt über das Internet attackieren. Weitere Infos zu den Sicherheitslücken findet man in den unterhalb dieser Meldung verlinkten Warnmeldungen.

Die meisten als "kritisch" eingestuften Schwachstellen betreffen Framemaker. 21 Stück sind es an der Zahl. Alle sind Schlupflöcher für Schadcode. Abgesichert ist die Version 2019.0.5. Alle vorigen Ausgaben sind Adobe zufolge bedroht.

Auch die Schwachstellen in Acrobat und Reader könnten Angreifer als Schlupfloch für Schadcode missbrauchen. Die folgenden Versionen hat Adobe gepatcht:

    Acrobat 2015 2015.006.30510
    Acrobat 2017 2017.011.30158
    Acrobat DC 2020.006.20034
    Acrobat Reader 2015 2015.006.30510
    Acrobat Reader 2017 2017.011.30158
    Acrobat Reader DC 2020.006.20034

Digital Editions ist über zwei Sicherheitslücken attackierbar. Hier könnten Angreifer Informationen leaken und ebenfalls Schadcode ausführen. Repariert ist die Ausgabe 4.5.11. Flash Player kämpft mit einer Schwachstelle, die als kritisch gilt. Abgesichert ist die Version 32.0.0.330 für Chrome OS, Linux, macOS und Windows.

Erste Patches für aufgekauftes Produkt

Nun sind die ersten Sicherheitspatches im Namen von Adobe für die Onlineshop-Software Magento erschienen. Der Softwarehersteller hat das Shopsystem im Mai 2018 für rund 1,7 Milliarden US-Dollar aufgekauft.

Auch hier gilt der Großteil der Lücken als kritisch. Nach einer erfolgreichen Attacken könnten Angreifer auf eigentlich abgeschottete Informationen zugreifen oder Schadcode ausführen. Abgesichert sind folgende Versionen:

    Magento Commerce 2.2.11
    Magento Commerce 2.3.4
    Magento Community Edition 1.9.4.4
    Magento Enterprise Edition 1.14.4.4
    Magento Open Source 2.2.11
    Magento Open Source 2.3.4

Setzen Angreifer an der Experience-Manager-Lücke an, könnten sie eine DoS-Attacke starten. Adobe hat die Schwachstelle in den Versionen 6.4 und 6.5 geschlossen.

    Acrobat and Reader
    Digital Editions
    Experience Manager
    Flash Player
    Framemaker
    Magento

Quelle : www.heise.de

[SiLæncer]

Es gibt wichtige Sicherheitsupdates für verschiedene Kreativ-Software von Adobe. Es gibt wichtige Sicherheitsupdates für verschiedene Kreativ-Software von Adobe.

Wer Adobes After Effects, ColdFusion oder Digital Editions nutzt, sollte die Anwendungen aus Sicherheitsgründen auf den aktuellen Stand bringen. Die durchweg als "wichtig" eingestuften Updates schließen insgesamt fünf Sicherheitslücken.

Sicherheitsupdates jetzt installieren

Die Composing-Software After Effects ist unter macOS und Windows attackierbar. Setzen Angreifer erfolgreich an der Schwachstelle (CVE-2020-3809) an, könnten sie gemäß einer Warnmeldung auf nicht näher beschriebene Informationen im Kontext das aktuellen Nutzer zugreifen. After Effects 17.0.6 ist abgesichert.

Durch ein erfolgreiches Ausnutzen der Lücken (CVE-2020-3767, CVE-2020-3768, CVE-2020-3796) in der Datenbank-Anwendung ColdFusion könnten Angreifer beispielsweise die Anwendung via DoS-Attacke schachmatt setzen oder sich höhere Nutzerrechte aneignen. Einer Meldung von Adobe zufolge, sind davon alle Plattformen betroffen. Die Ausgaben ColdFusion 2016 Update 15 und ColdFusion 2018 Update 9 sind repariert.

Die E-Book-Software Digital Editions ist über eine Sicherheitslücke (CVE-2020-3798) unter Windows angreifbar, führt Adobe in einem Beitrag aus. Auch hier könnten Informationen leaken. Abgesichert ist die Digital-Editions-Ausgabe 4.5.11.187303.

Quelle : www.heise.de