Patchday: Adobe schließt "nur" zwei kritische Lücken im Flash Player
Es gibt neue Sicherheitsupdates für verschiedene Adobe-Produkte. Die Patches schließen unter anderem kritische Lücken in Dreamweaver und Flash.
Angreifer könnten Nutzer von Adobe Connect, Flash und Dreamweaver attackieren und Schadcode ausführen. Als besonders kritisch gelten zwei Sicherheitslücken im Flash Player und eine Lücke in Dreamweaver.
Von den Lücken in Flash sind alle Versionen bis einschließlich 28.0.0.161 unter Chrome OS, Linux, macOS und Windows bedroht. Die Ausgabe 29.0.0.113 ist abgesichert. Wie Angreifer Attacken einleiten können, ist derzeit nicht bekannt. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass ein Angriff aus der Ferne und ohne Authentifizierung klappt.
Welche Flash-Version auf dem eigenen Computer läuft, kann man auf einer Webseite von Adobe prüfen. Die abgesicherten Ausgaben findet sich über die Download-Webseite. An dieser Stelle sollte man aufpassen: Standardmäßig ist weitere Software ausgewählt, die neben dem Flash Player auf dem Computer landet – diese kann man manuell abwählen. Der Webbrowser Chrome aktualisiert Flash automatisch. Unter Windows 8.1 und 10 tun dies auch Edge und Internet Explorer 11. Das Ende des Flash Players ist indes beschlossen: Ende 2020 soll Schluss sein.
Dreamweaver und Connect
Adobe Dreamweaver CC 18.0 und alle vorigen Versionen unter Windows sind für einen OS-Command-Injection-Angriff anfällig. Darüber könnten Angreifer Code mit Rechten des Opfers ausführen. In der Ausgabe 18.1 hat Adobe die Lücke geschlossen.
Nutzen Angreifer zwei Schwachstellen in Connect aus, könnten sie unter gewissen Voraussetzungen einen XSS-Angriff ausführen und Dateien löschen, beziehungsweise die Anwendung vom Computer entfernen. Davon sind alle Versionen bis einschließlich 9.7 auf allen Plattformen bedroht. Die Ausgabe 9.7.5 schafft Abhilfe. (des)
