Adobe patcht Flash und ColdFusion

Neben Microsoft hat auch Adobe am gestrigen Patchday Sicherheitsupdates veröffentlicht. Die Firma stopft damit Lücken im Flash Player und seiner App-Entwicklungsplattform AIR. Außerdem veröffentlichten die Entwickler eine Reihe von Updates, die Lücken im Webapp-Server ColdFusion schließen. Die Flash-Updates stuft Adobe mit Priorität 1 als gefährlicher ein als die ColdFusion-Patches, die nur Priorität 2 erhielten.

Die Flash-Lücken befinden sich in den Speicherverwaltungsfunktionen der Runtime und können von Angreifern missbraucht werden, um Schadcode aus dem Netz zur Ausführung zu bringen. Allerdings werden sie laut Adobe im Moment nicht aktiv ausgenutzt. Betroffen sind alle Versionen bis einschließlich 15.0.0.167 der Desktop-Runtime für Mac und Windows, sowie des Plug-ins für den Internet Explorer 10 und 11. Das Chrome-Plug-in ist bis einschließlich Version 15.0.0.152 angreifbar. Außerdem sind die Linux-Variante bis einschließlich Version 11.2.202.406 und die Extended-Support-Ausgabe von Flash bis einschließlich Version 13.0.0.244 verwundbar.

Flash-Nutzer mit Windows- oder Mac-Systemen sollten auf Flash 15.0.0.189 aktualisieren – alternativ kann auch die Extended-Support-Version 13.0.0.250 genutzt werden. Linux-Nutzer sollten auf Version 11.2.202.411 updaten. Flash für Google Chrome wird automatisch aktualisiert. Nutzer von Internet Explorer 10 für Windows 8 und IE 11 für Windows 8.1 werden vollautomatisch mit Updates versorgt. Mehr Informationen zu den Patches für Flash und zu den entsprechenden AIR-Versionen hat Adobe auf einer Informations-Seite zusammengestellt.

Nutzer des Application-Servers ColdFusion sollten ebenfalls Updates einspielen. Die Versionen 9.0, 9.0.1, 9.0.2, 10 und 11 enthalten Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) Lücken, sowie ein Problem bei der Einschränkung von IP-Adressen, die auf eine bestimmte Seite zugreifen können. Die Sicherheitslücken betreffen alle Betriebssysteme, für die ColdFusion verfügbar ist. (fab)