Zum Thema Destiny 2

Adobes Flickentag: 81 Löcher gestopft

reported by doelf, Mittwoch der 09.08.2017, 14:35:59 Uhr

Adobes gestriger Flickentag war am Ende deutlich umfangreicher als die im Vorfeld angekündigten Sicherheits-Updates für die Programme Acrobat und Reader. Über den ebenfalls aktualisierten Flash Player hatten wir gestern bereits berichtet, doch auch in Adobe Digital Editions und im Adobe Experience Manager mussten Sicherheitslücken gestopft werden.

Adobe Acrobat und Reader
Mit 67 Sicherheitslücken sind die Programme Acrobat und Reader die eindeutigen Spitzenreiter dieses Flickenfests: Knapp Zweidrittel dieser Fehler, 43 an der Zahl, sind kritischer Natur, während Adobe die übrigen 24 allesamt als schwerwiegend betrachtet. Alleine 26 Speichermanipulationen ermöglichen das Einschleusen von Schadcode, 24 davon wurden als kritisch (CVE-2017-3016, CVE-2017-3038, CVE-2017-3116, CVE-2017-3123, CVE-2017-3124, CVE-2017-11212, CVE-2017-11214, CVE-2017-11216, CVE-2017-11226, CVE-2017-11227, CVE-2017-11228, CVE-2017-11222, CVE-2017-11234, CVE-2017-11237, CVE-2017-11251, CVE-2017-11259, CVE-2017-11260, CVE-2017-11261, CVE-2017-11262, CVE-2017-11267, CVE-2017-11268, CVE-2017-11269, CVE-2017-11270, CVE-2017-11271) und zwei als hochgefährlich (CVE-2017-3119 und CVE-2017-11263) bewertet. Über zwanzig weitere Speichermanipulationen lassen sich Daten abgreifen. Hiervon wurden drei als kritisch (CVE-2017-11238, CVE-2017-11239, CVE-2017-11252) und 17 als hochgefährlich (CVE-2017-3122, CVE-2017-11209, CVE-2017-11210, CVE-2017-11217, CVE-2017-11230, CVE-2017-11233, CVE-2017-11236, CVE-2017-11242, CVE-2017-11243, CVE-2017-11244, CVE-2017-11245, CVE-2017-11246, CVE-2017-11248, CVE-2017-11249, CVE-2017-11255, CVE-2017-11258, CVE-2017-11265) klassifiziert. Ein hochgefährlicher (CVE-2017-11254) und neun kritische (CVE-2017-3113, CVE-2017-3120, CVE-2017-11218, CVE-2017-11219, CVE-2017-11223, CVE-2017-11224, CVE-2017-11231, CVE-2017-11235, CVE-2017-11256) Zugriffe auf bereits gelöschte Objekte öffnen Schad-Software die Tore, ein weiterer Use-After-Free-Fehler dient als Datenleck (CVE-2017-11232). Auch fünf kritische Heap-Überläufe (CVE-2017-3117, CVE-2017-3121, CVE-2017-11211, CVE-2017-11220, CVE-2017-11241), zwei kritische Typenverwechslungen (CVE-2017-11221 und CVE-2017-11257) und eine schwerwiegende Umgehung von Sicherheitsmaßnahmen (CVE-2017-11229) lassen sich zum Ausführen von Schadcode einspannen. Über eine weitere Umgehung von Sicherheitsmaßnahmen (CVE-2017-3118) sowie eine unzureichende Datenprüfung (CVE-2017-3115) lassen sich derweil Informationen stehlen, in beiden Fällen handelt es sich um schwerwiegende Probleme. Obwohl Adobe lediglich ein Update binnen 30 Tagen empfiehlt, sollten Nutzer, die häufig mit PDF-Dateien zu tun haben, die Programme lieber zeitnah aktualisieren.

Download: Acrobat Reader:

Download: Acrobat:

Adobe Flash Player
Im Flash Player stecken zwar nur zwei Lücken, doch die Typen-Verwechslung (CVE-2017-3106) ermöglicht das Einschleusen von Schadcode und wurde daher als kritisch bewertet. Ein zweiter Fehler (CVE-2017-3085) umgeht Sicherheitsvorkehrungen und kann zum Abgriff von Informationen genutzt werden. Adobe hat für alle Plattformen die höchste Prioritätsstufe 1 verhängt und damit das unverzügliche Einspielen des Updates empfohlen. Lediglich der Flash Player für Linux, mit Ausnahme der Version in Googles Chrome, gilt als vergleichsweise sicher. Für diesen gilt lediglich die Prioritätsstufe 3 (kann man einspielen, falls der Admin einmal Langeweile hat).

Download: Adobe Flash Player 26.0.0.151

Adobe Digital Editions
Neun Sicherheitslücken wurden in Digital Editions beseitigt, zwei davon gelten als kritisch. Es handelt sich um einen Pufferüberlauf (CVE-2017-11274), welcher als Einfallstor für Schadcode missbraucht werden kann, sowie um einen Fehler beim Parsen von externen XML-Inhalten (CVE-2017-11272), welcher ein ernstzunehmendes Datenleck aufreißt. Bei den restlichen sieben Schwachstellen (CVE-2017-3091, CVE-2017-11275, CVE-2017-11276, CVE-2017-11277, CVE-2017-11278, CVE-2017-11279, CVE-2017-11280) handelt es sich um Speichermanipulationen, über die Angreifer Speicheradressen erfahren können. Sie wurden allesamt als schwerwiegend eingestuft. Da Adobe Angriffe auf diese Bugs erwartet, sollte man das Update binnen 30 Tagen einspielen.

Details und Download-Links: Adobe Digital Editions 4.5.6

Adobe Experience Manager
Im Experience Manager der Versionen 6.0 bis 6.3 wurden drei Sicherheitslücken geschlossen. Es handelt sich um eine fehlerhafte Dateivalidierung (CVE-2017-3108) während des Uploads, welche die Möglichkeit zum Einschleusen von Schad-Software eröffnet und daher als hochgradig gefährlich klassifiziert wurde. Hinzu kommen zwei mittelschwere Informationslecks (CVE-2017-3107 und CVE-2017-3110). Adobe hält Angriffe für möglich und empfiehlt ein Update binnen 30 Tagen.

Details und Download-Links: Adobe Experience Manager Hotfix/Fix Pack

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]