Autor Thema: Patchday bei Adobe  (Gelesen 11710 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 148616
  • Ohne Input kein Output
    • DVB-Cube
Es gibt wichtige Sicherheitsupdates für die PDF-Anwendungen Acrobat und Reader. Auch das Adobe DNG SDK wurde abgesichert.

Computer mit Adobe Acrobat und Reader und DNG Software Development Kit (SDK) sind über kritische Sicherheitslücken attackierbar. Patches stehen zum Download bereit.

Von den Schwachstellen in Acrobat und Reader sind macOS- und Windows-Computer bedroht. Setzen Angreifer erfolgreich an den Lücken an, könnten sie Anwendungen per DoS-Attacke abstürzen lassen, Informationen leaken oder sogar Schadcode ausführen. Wie Angriffe ablaufen könnten, führt Adobe derzeit nicht aus. Die abgesicherten Versionen listet der Softwarehersteller in einer Warnmeldung auf. Die Updates sollten sich automatisch installieren.

Von den DNG-SDK-Lücken sind einem Beitrag von Adobe zufolge ausschließlich Windows-Computer gefährdet. Auch hier könnten Angreifer eigenen Code ausführen oder auf eigentlich abgeschottete Informationen zugreifen. Die Entwickler geben an, dass die Version 1.5.1 repariert ist. Alle vorigen Ausgaben sollen verwundbar sein.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 148616
  • Ohne Input kein Output
    • DVB-Cube
Patchday: Adobe doktort weiter an Flash rum
« Antwort #256 am: 10 Juni, 2020, 12:38 »
Der Flash Player ist mal wieder über eine kritische Sicherheitslücke attackierbar. Außerdem gibt es Updates für Framemaker und Experience Manager.

Adobe, Flash, Sicherheitsupdates - diese Begriffe sind untrennbar miteinander verbunden. Nun ist es mal wieder soweit und Adobe schließt eine "kritische" Lücke im Flash Player. Erfolgreiche Attacken öffnen Schadcode Tür und Tor.

Von der Sicherheitslücke (CVE-2020-9633) sind Chrome OS, Linux, macOS und Windows bedroht. Ob Attacken aus der Ferne und ohne Authentifizieren möglich sind, geht aus einer Warnmeldung von Adobe nicht hervor. Aufgrund der kritischen Einstufung ist aber davon auszugehen.

Die auf der Downloadseite verfügbare Flash-Version 32.0.0.387 ist abgesichert. Alle vorigen Ausgaben sollen verwundbar sein. Chrome aktualisiert den Flash Player automatisch. Unter Windows 8.1 und 10 ist das auch bei Edge und Internet Explorer der Fall.

Ein lang gehegter Traum geht in Erfüllung: Ende 2020 ist endlich Schluss mit der ausufernden Flash-Patcherei. Dann stellt Adobe den Support ein und veröffentlicht keine Updates mehr. In vielen Webbrowser ist das Plugin schon seit Monaten standardmäßig deaktiviert.

Noch mehr Sicherheitsupdates

Adobe Framemaker für Windows ist über drei als kritische eingestufte Sicherheitslücken (CVE-2020-9634, CVE-2020-9635, CVE-2020-9636) attackierbar. Hier kann ebenfalls Schadcode auf Computer gelangen. Die Entwickler haben die Schwachstellen in der Ausgabe 2019.0.6 geschlossen. Alle vorigen Ausgaben sind Adobe zufolge angreifbar.

Experience Manager ist unter allen Plattformen über sechs Lücken angreifbar. In einer Warnmeldung von Adobe findet man weitere Infos zu den Schwachstellen und reparierten Versionen. Die Patches bewertet Adobe als "wichtig". Klappen Attacken, könnten Angreifer Informationen leaken oder JavaScript im Browser ausführen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 148616
  • Ohne Input kein Output
    • DVB-Cube
Updates für Creative Cloud Desktop Application, ColdFusion, Download Manager, Genuine Service und Media Encoder schließen Lücken von "Important" bis "Critical".

Zum Patch Tuesday im Juli hat Adobe insgesamt 13 Sicherheitslücken aus Creative Cloud Desktop Application, ColdFusion, Download Manager, Genuine Service und Media Encoder beseitigt. Vier Lücken gelten als kritisch, der Schweregrad der übrigen wurde als "hoch" eingestuft. Aktive Exploits der will Adobe bislang nicht beobachtet haben; dennoch sollten Windows, Linux- und macOS-User die jeweils für sie verfügbaren Updates möglichst zeitnah einspielen.

Vier kritische Sicherheitslücken in Windows-Ausgaben

Zwei der kritischen Lücken (CVE-2020-9646 und CVE-2020-9650) betreffen den Adobe Media Encoder unter Windows bis einschließlich Version 14.2. Sie könnten unter bestimmten Voraussetzungen zur Ausführung beliebigen Codes missbraucht werden. Dasselbe Angriffsszenario ermöglicht die kritische Sicherheitslücke CVE-2020-9688 in Version 2.0.0.518 des Download Managers für Windows.

Auch die vierte Lücke mit "Critical"-Einstufung, CVE-2020-9682 in der Creative Cloud Desktop Application bis einschließlich Version 5.1, betrifft auschließlich Windows-Systeme. Angreifer könnten schreibend aufs Dateisystem zugreifen. Details zu den (teils auch für macOS verfügbaren) Software-Updates nennen die Advisories:

    Adobe Media Encoder | APSB20-36
    Adobe Download Manager | APSB20-49
    Adobe Creative Cloud Desktop Application | APSB20-33

Weitere Updates für alle Plattformen

Von zwei Sicherheitslücken mit "Important"-Einstufung in Genuine Service bis einschließlich Version 6.6 sind Windows- und macOS-Systeme gleichermaßen betroffen. Über sie könnten Angreifer im Kontext des aktuellen Nutzers ihre Rechte auf verwundbaren Systemen ausweiten (Privilege Escalation).

Die ColdFusion-Updates zum Patchday betreffen alle Plattformen. Sie schützen ColdFusion 2016 bis einschließlich Update 15 und ColdFusion 2018 bis einschließlich Update 9 vor einer möglichen Privilege Escalation.

    Adobe Genuine Service | APSB20-42
    Adobe ColdFusion | APSB20-43

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 148616
  • Ohne Input kein Output
    • DVB-Cube
Patchday Adobe: Wichtige Updates für Acrobat, Reader und Lightroom
« Antwort #258 am: 12 August, 2020, 08:44 »
Einen eher kleinen Patchday gab es diesmal bei Adobe. Wichtig sind die verfügbaren Updates aber dennoch: Sie schließen mehrere kritische Lücken.

Zum Patchday hat Adobe diesmal lediglich zwei Produkte, nämlich Acrobat und Reader und den Foto-Editor Lightroom für Windows und macOS, mit Sicherheitsupdates bedacht. Nutzer dieser Produkte sollten dennoch zeitnah updaten: Im Security Bulletin zu Adobe und Reader sind CVE-Nummern zu 26 Lücken aufgeführt, von denen 11 die Einstufung "Critical" aufweisen. Alle übrigen – auch die Lücke in Lightroom – hat der Hersteller immerhin mit "Important" bewertet.

Updates für Acrobat und Reader

Die kritischen Sicherheitslücken in Acrobat und Reader könnten unter anderem missbraucht werden, um Sicherheitsmechanismen zu umgehen und beliebigen Code im Kontext des derzeit angemeldeten Nutzers auszuführen. Lücken mit "Important"-Einstufungen ermöglichen Angreifern zudem das Erlangen sensibler Informationen, Privilegienausweitung sowie das Provozieren eines Denial-of-Service (Absturz) der Anwendung. Mindestens einige der Lücken sind aus der Ferne ausnutzbar.

Betroffen sind Acrobat DC und Acrobat Reader DC in allen Versionen bis einschließlich 2020.009.20074 sowie die "Classic"-Ausgaben von

    Acrobat und Acrobat Reader 2015 bis einschließlich Version 2015.006.30523 ,
    Acrobat und Acrobat Reader 2017 bis einschließlich Version 2017.011.30171 und
    Acrobat und Acrobat Reader 2020 bis einschließlich Version 2020.001.30002.

Informationen und Links zu den verfügbaren abgesicherten Versionen sind dem Security Bulletin APSB20-48 zu entnehmen.

Aktualisierung für Lightroom

Anders als im Falle von Adobe und Reader sind über die als "Important" eingestufte Sicherheitslücke CVE-2020-9724 in Lightroom nur Windows-, nicht aber macOS-Systeme angreifbar. Betroffen sind Lightroom Classic-Versionen bis einschließlich 9.2.0.10. Die Lücke erlaubt hier unter bestimmten Voraussetzung die Rechtausweitung im Kontext des aktuellen Benutzers.

Weitere Details zu Angriffsmöglichkeiten nennt das Security Bulletin APSB20-51 leider nicht. Die neue Lightroom-Version 9.3, die gleichermaßen für Windows und macOS verfügbar ist, beseitigt die Lücke. Sie steht für registrierte Nutzer in Adobes Download-Center bereit.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 148616
  • Ohne Input kein Output
    • DVB-Cube
Patchday: Adobe schließt kritische Schadcode-Lücken in InDesign & Co.
« Antwort #259 am: 09 September, 2020, 12:42 »
Es gibt wichtige Sicherheitsupdates für Experience Manager, Framemaker und InDesign.

Angreifer könnten Computer mit Software von Adobe attackieren und Schadcode mit den Rechten des Opfers ausführen. Gelingt eine Attacke auf ein Opfer mit Admin-Rechten, gilt ein Computer als vollständig kompromittiert. Sicherheitsupdates sind verfügbar.

Der Bedrohungsgrad der meisten Sicherheitslücken gilt als "kritisch". Wie Angriffsszenarien auf Experience Manager, Framemaker und InDesign aussehen könnten, führt Adobe in den Sicherheitswarnungen nicht aus.

Abgesichert sind Adobe Experience Manager (AEM) 6.4.8.2, 6.5.6.0 und AEM Forms Service Pack 6 für alle Plattformen, Framemaker 2019.0.7 unter Windows und InDesign 15.1.2 unter macOS und Windows.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 148616
  • Ohne Input kein Output
    • DVB-Cube
Patchday Adobe: Kurz und schmerzlos
« Antwort #260 am: 11 November, 2020, 10:20 »
Es gibt wichtige Sicherheitsupdates für Adobe Connect und Reader Mobile.

Angreifer könnten Computer mit Adobe Connect attackieren und eigenen Code im Browser ausführen. Reader Mobile könnte Informationen leaken.

Das Update für die Lücken (CVE-2020-24442, CVE-2020-24443) ist als "wichtig" eingestuft. Durch eine erfolgreiche XSS-Attacke (reflected) könnten Angreifer JavaScript im Browser von Opfern ausführen. Davon sind alle Plattformen betroffen. Adobe Connect 11.0.5 ist dagegen abgesichert. Alle vorigen Ausgaben sind einer Warnmeldung von Adobe zufolge bedroht.

Von der Schwachstelle (CVE-2020-24441) in Adobe Reader Mobile sind alle Android-Versionen betroffen. Abgesichert ist die Ausgabe 20.9.0.
Vorgezogener Patchday

Mehrere kritische Sicherheitslücken in Acrobat und Reader hat Adobe bereits Anfang November in Form von Notfall-Patches geschlossen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 148616
  • Ohne Input kein Output
    • DVB-Cube
Kritische Lücken wurden unter anderem aus Photoshop, Illustrator, Animate und Bridge beseitigt. Der Flash Player hat endgültig den Dienst quittiert.

Zum ersten Patchday dieses Jahres hat Adobe kritische Sicherheitslücken in Animate, Bridge Campaign Classic, Illustrator, InCopy und Photoshop geschlossen. Auch einer Lücke mit "Important"-Einstufung in Captivate wurde der Garaus gemacht. Produkt-Updates stehen gleichermaßen für die Plattformen Windows, macOS und Linux bereit. Adobe empfiehlt Nutzern, sie angesichts des hohen Schweregrads der Sicherheitslücken zeitnah einspielen.

Codeausführung und Zugriff auf sensible Daten

Wie gewohnt gehen Adobes Security Bulletins mit Informationen zu den Sicherheitslücken recht sparsam um: Die meisten der kritischen Lücken könnten unter bestimmten Voraussetzungen missbraucht werden, um auf nicht näher bezeichneten Angriffswegen beliebigen Programmcode im Kontext des angemeldeten Benutzers auszuführen. Eine Ausnahme bildet Campaign Classic: Hier kann die Sicherheitslücke das Abgreifen sensibler Daten ermöglichen.

Das potenzielle Einfallstor in Adobe Captivate mit "Important"-Einstufung könnten Angreifer missbrauchen, um ihre Zugriffsrechte auszuweiten.

Sicherheitslücken & Updates im Überblick

Detaillierte Informationen zu verwundbaren und abgesicherten Programmversionen sind den Security Bulletins zu entnehmen, die wir nachfolgend nebst CVE-IDs aufgelistet haben:

    Adobe Animate | APSB21-03 (CVE-2021-21008, Critical)
    Adobe Campaign Classic | APSB21-04 (CVE-2021-21009, Critical)
    Adobe Captivate | APSB21-06 (CVE-2021-21011, Important)
    Adobe Illustrator | APSB21-02 (CVE-2021-21007, Critical)
    Adobe InCopy | APSB21-05 (CVE-2021-21010, Critical)
    Adobe Photoshop | APSB21-01 (CVE-2021-21006, Critical)
    Adobe Bridge | APSB21-07 (CVE-2021-21012 & CVE-2021-21013, Critical)

Flash Player blockt künftig Flash

Das End-of-Life von Adobes Flash Player wurde bereits 2017 angekündigt, der Support am 31.12.2020 beendet. Künftig wird der Player zusätzlich den Dienst verweigern, sofern er noch immer nicht deinstalliert wurde: Auf der "Adobe Flash Player EOL General Information Page" ist zu lesen, dass seit dem gestrigen Dienstag Flash-Content im Flash Player aus Sicherheitsgründen grundsätzlich blockiert wird.

Höchste Zeit also, dieses Relikt aus früheren Zeiten vom System zu entfernen. Wie das geht und welche Alternativen es gibt, verrät unter anderem unsere FAQ zum Thema.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )