Adobe-Patchday: Fix für Flash-Zero-Day erst mal nur für Windows
Adobe schließt 92 Sicherheitslücken im Reader und ColdFusion-Server bekommen einen Hotfix. Ein Update für eine kritische Flash-Lücke, die bereits aktiv für Angriffe missbraucht wird, steht allerdings noch aus. Nur Microsoft-Nutzer erhalten hier Hilfe.
- Fabian A. Scherschel
Adobe hat im Rahmen seiner monatlichen Sicherheitsupdates kritische Lücken in Acrobat und Reader geschlossen, sowie weniger gravierende Sicherheitsprobleme mit ColdFusion behoben. Ein kritischer Flash-Patch ist ebenfalls angekündigt, momentan erhalten ihn aber nur Nutzer von Microsoft-Produkten über Microsofts Update-Kanäle. Adobe selbst will ein Update frühestens am 12. Mai, also zwei Tage nach dem Patchday, anbieten. Damit wird der Patchday für Adobe eher zu einer Patchweek.
Kritischer Zero Day in Flash
Laut Adobe wird die Flash-Lücke (CVE-2016-4117) bereits für Angriffe ausgenutzt; sie erlaubt es Angreifern, Zielsysteme komplett zu übernehmen. Betroffen sind Versionen bis einschließlich 21.0.0.226 auf Windows, OS X, Linux und die Chrome-Version von Flash. Microsoft hat mit dem eigenen Patchday eine gefixte Flash-Version an Windows-Nutzer verteilt (MS16-064).
In stichprobenartigen Tests konnte heise Security verifizieren, dass der Internet Explorer auf Windows 8.1 und 10 nach den Mai-Updates von gestern abend Flash-Version 21.0.0.241 einsetzt und damit nicht mehr verwundbar ist. Anwender mit OS X, Linux oder Chrome unter allen Plattformen müssen warten, bis Adobe die anderen Updates frei gibt.
92 Sicherheitslücken in Acrobat und Reader
Mit seinem Update für Acrobat und Reader schließt Adobe ganze 92 Sicherheitslücken auf einmal. Dabei handelt es sich vor allem um Speicherverwaltungs-Fehler wie Puffer-Überläufe und Use-After-Free-Fehler. Die meisten davon erlauben das Ausführen von Schadcode aus der Ferne. Angreifer können somit das Zielsystem übernehmen, wenn sie es schaffen, dem Anwender eine präparierte PDF-Datei unterzuschieben.
Um auf der sicheren Seite zu sein sollten Acrobat- und Adobe-Reader-Nutzer auf Windows und OS X mindestens Version 15.016.20039 (Acrobat/Reader DC Continuous), 15.006.30172 (Acrobat/Reader DC Classic) oder 11.0.16 (Acrobat/Reader XI) einsetzen. Die Updates finden sich im Download Center von Adobe oder können über die Update-Funktion der Programme angefordert werden.
Adobe schätzt dieses Update als kritisch ein und Angesichts der schieren Fülle an Lücken, die Angreifer zum Angriff per PDF einladen, sollten Nutzer schnell handeln und die Updates einspielen. Bösartige Spam-Kampagnen mit manipulierten, als Rechnung, Mahnung oder Anwaltsbrief getarnten E-Mail-Anhängen erfreuen sich nach wie vor großer Beliebtheit und wir erhalten immer wieder Berichte von Lesern über derartige Angriffe. Der Adobe Reader stellt also nach wie vor ein lohnendes Ziel für Angreifer dar.
Hotfix für ColdFusion
Im Web-Framework ColdFusion klaffen drei Sicherheitslücken, die Adobe nun mit einem Hotfix-Update ebenfalls aus der Welt geräumt hat. Hierbei handelt es sich um Fehler in der Zertifikatsbehandlung, eine Sicherheitslücke in Java und ein Fehler bei der Input-Validierung, der für Cross-Site-Scripting-Angriffe (XSS) missbraucht werden kann.
Admins, die ColdFusion 10 im Einsatz haben sollten Update 19 einspielen, bei ColdFusion 11 bringt Update 8 Abhilfe. Das Release 2016 des Web-Frameworks erhält den Hotfix mit Update 1. Alle diese Updates können über die Administrationsoberfläche des ColdFusion-Servers installiert werden. (fab)