Adobe-Patchday: Fixes für Flash, Reader und ColdFusion
Nutzer von Flash, Reader und Acrobat sollten ihre Software aktualisieren. Eine Reihe kritischer Lücken erlauben es Angreifern, betroffene Systeme aus der Ferne zu kapern. Auch ColdFusion-Admins sollten updaten, um DoS-Angriffe zu verhindern.
- Fabian A. Scherschel
An seinem Dezember-Patchday hat Adobe kritische Sicherheitsupdates für Flash sowie Adobe Reader und Acrobat veröffentlicht. Ein weiteres Update schließt eine Sicherheitslücke im Application-Server ColdFusion, welche die Software lahmlegen kann und so zu einem Denial of Service (DoS) führt. Das Flash-Update schließt insgesamt sechs Lücken, in Reader und Acrobat wurden gleich 20 Löcher gestopft.
Gefährliche Lücken in Flash
Mit dem Update für Flash wurden Probleme mit der Speicherverwaltung behoben; außerdem hat Adobe Lücken gestopft, die es Angreifern ermöglichen, die Same Origin Policy von Flash zu umgehen und Informationen über das System auszulesen. Über die Lücken kann ein Angreifer aus der Ferne die Kontrolle über das System eines Opfers übernehmen.
Wer den Flash Player auf Windows oder Mac OS nutzt, sollte auf Version 16.0.0.235 aktualisieren; beziehungsweise auf Version 13.0.0.259, falls das Extended Support Release benutzt wird. Linux-Nutzer sollten sicherstellen, dass sie Version 11.2.202.425 installiert haben, um die Lücken zu schließen. Flash für Google Chrome wird automatisch aktualisiert. Nutzer von Internet Explorer 10 für Windows 8 und IE 11 für Windows 8.1 werden ebenfalls vollautomatisch mit Updates versorgt.
Updates für Reader, Acrobat und ColdFusion
Die Updates für Adobe Reader und Acrobat schließen eine ganze Reihe von Lücken in der Speicherverwaltung der Software, sowie andere Probleme wie etwa Bugs in der JavaScript-API und in der Verarbeitung von XML. Angreifer können diese nutzen, um die Kontrolle über das System eines Opfers zu erhalten. Adobe sieht diese Gefahr im Moment allerdings nur als theoretisch an. Nutzer von Reader oder Acrobat X sollten auf Version 10.1.13 updaten. Wer Reader oder Acrobat XI benutzt, sollte sicherstellen, dass er Version 11.0.10 installiert hat.
Administratoren, die ColdFusion 10 oder 11 einsetzen, sollten ebenfalls updaten; ColdFusion 9 ist nicht betroffen. Die mit dem Update geschlossene Sicherheitslücke erlaubt es Angreifern, die Systemressourcen des Servers derart zu beanspruchen, dass das System nicht mehr reagiert (CVE-2014-9166). Die Lücke wurde vertraulich gemeldet und wird laut Adobe bis jetzt noch nicht aktiv ausgenutzt. (fab)