Patchday: Adobe sichert Flash gegen aktive Angriffe ab
In diesem Monat stellt Adobe Sicherheitsupdates für neun Anwendungen von Animate bis RoboHelp bereit. Vor allem Flash-Nutzer sollten zeitnah aktualisieren: Angreifer attackieren derzeit bestimmte Windows-Systeme.
Adobe schließt Sicherheitslücken in Animate, ColdFusion Builder, Digital Editions, DNG Converter, Experience Manager, Experience Manager Forms, Flash Player, InDesign und RoboHelp. Außerdem ist der Flash Player unter ChromeOS, Linux, macOS und Windows verwundbar. Insgesamt schließt Adobe 17 kritische Sicherheitslücken. Der Anbieter warnt dringlich vor der Lücke mit der Kennung CVE-2016-7892, auf die es Angreifer aktuell abgesehen haben. Im Angriffsfokus sollen Windows-Nutzer mit dem Internet Explorer (32 Bit) stehen.
Anonymer Hinweis
Adobe zufolge stammt der Hinweis auf die Lücke von einer anonymen Quelle. In der Regel machen Sicherheitsforscher Adobe auf Schwachstellen aufmerksam, die in den Sicherheitswarnungen namentlich genannt werden.
Nutzen Angreifer diese und die anderen Schwachstellen aus, können sie Schadcode ausführen und betroffene Systeme komplett übernehmen. Bedroht sind die Versionen des Flash Players bis einschließlich 23.0.0.207 und 11.2.202.644.
Welche Version auf dem eigenen Computer läuft, kann man auf einer Webseite von Adobe prüfen. Die abgesicherten Ausgaben findet sich über die Download-Webseite. An dieser Stelle sollte man aufpassen: Standardmäßig ist weitere Software ausgewählt, die neben dem Flash Player auf den Computer landet – das kann man manuell abwählen. Die Webbrowser Chrome und Edge und Internet Explorer 11 für Windows 8.1 und 10 aktualisieren sich automatisch.
Weniger kritische Lücken
Der Experience Manager ist in den Versionen 6.0, 6.1 und 6.1 unter Linux, macOS, Unix und Windows gefährdet. Ein Ausnutzen der Lücken ermöglicht unter anderem XSS-Attacken. Im ColdFusion Builder in den Ausgaben bis einschließlich 2016 Update 2 und 3.0.3 für Linux, macOS und Windows klafft ein Datenleck. Adobe Animate ist in den Versionen bis einschließlich 15.2.1.95 unter macOS und Windows für einen Speicherfehler anfällig.
Weitere XSS-Schwachstellen klaffen in Adobe Experience Manager Forms. Betroffen sind die Versionen 6.0, 6.1, 6.2 und LiveCycle 10.0.4 und 11.0.1 unter AIX, Linux, Solaris und Windows. Im DNG Converter können Angreifer Speicherfehler provozieren. Bedroht sind die Ausgaben bis einschließlich 9.7 unter macOS und Windows.
Adobe InDesign ist mit identischen Betriebssystemen ebenfalls für Speicherfehler anfällig. Das trifft für die Versionen bis einschließlich 11.4.1 und InDesign Server 11.0.0 zu. Nehmen Angreifer Digital Editions unter Android, macOS und Windows in den Versionen bis 4.5.2 ins Visier, können sie unter Umständen Informationen abziehen. Adobe RoboHelp ist in den Version bis einschließlich 11 und 2015.0.3 unter Windows für XSS-Attacken anfällig. (des)
