Adobe-Patchday lässt kritische Flash-Lücke ungepatcht
Adobe schließt Lücken in ColdFusion, der Creative Cloud, dem DNG Development Kit und seinem Texteditor Brackets. Nur eine kritische Flash-Lücke bleibt erst mal ungepatcht.
- Fabian A. Scherschel
Adobe hat zum monatlichen Patchday Lücken in ColdFusion, der Adobe Creative Cloud, seinem quelloffenen Texteditor Brackets und im Digital Negative (DNG) Development Kit geschlossen. Nur Patches für den Flash Player such man vergebens, und dabei klafft eine kritische Lücke in der Software (CVE-2016-4171), die laut Kaspersky bereits für gezielte Angriffe missbraucht wird. Adobe will diese Lücke nach eigenen Angaben "frühestens am 16. Juni" stopfen. Das ist nun schon das zweite Mal, dass Adobe kritische Flash-Patches um ein paar Tage verschleppt.
ColdFusion
Die Updates, die Adobe abseits des fehlenden Flash-Patches ausliefert, sind weniger kritisch. Der ColdFusion-Hotfix schließt mehrere Lücken, über die Angreifer Cross-Site-Scripting-Attacken gegen ColdFusion-Web-Apps fahren können. Betroffen sind ColdFusion 10, 11 und das 2016 Release des Web-App-Servers. Admins sollten ihre Installation auf ColdFusion 10 Update 20, ColdFusion 11 Update 9 oder ColdFusion (2016 Release) Update 2 aktualisieren, um die Lücken zu stopfen.
Brackets, Creative Cloud
Ein Update für den Texteditor Brackets behebt ebenfalls eine Cross-Site-Scripting-Lücke, die Angreifer durch injiziertes JavaScript ausnutzen können. Außerdem wird eine Lücke im Plug-In-Manager der Software geschlossen. Betroffen sind die Windows-, OS-X- und Linux-Versionen. Nutzer sollten sicherstellen, dass sie Version 1.7 oder neuer installiert haben. Die Windows-Desktop-App der Creative Cloud gibt Informationen preis, die es Angreifern leichter machen könnte, Schadcode auf dem System auszuführen. Abhilfe schafft Version 3.7.0.272 der Creative-Cloud-Software.
DNG Development Kit
Im Development Kit für Adobes Digital-Negative-Format wurde ein Speicherverwaltungsfehler gefunden. Adobe geht nicht näher auf die Art der Lücke ein, belegt sie aber mit einer niedrigeren Priorität – das lässt darauf schließen, dass die Ausführung von Schadcode nicht ohne weiteres möglich ist. Version 1.4 der 2016er Ausgabe der Software für Windows und OS X schließt diese Lücke.
Sobald Adobe den noch ausstehenden Flash-Patch veröffentlicht, werden wir dazu eine eigenständige Meldung bei heise Security veröffentlichen. (fab)
