MSI Beef-Up

Adobe: Sicherheits-Updates für Flash Player, Connect und Dreamweaver CC

reported by doelf, Mittwoch der 14.03.2018, 16:38:26 Uhr

Adobe hat frische Sicherheits-Updates für seine Produkte Flash Player, Connect und Dreamweaver CC veröffentlicht. Im Flash Player wurden zwei kritische Lücken gestopft, im Dreamweaver CC ein kritischer Fehler beseitigt und in Connect zwei gefährliche Probleme gelöst.

Flash Player
Mit der Prioritätsstufe 2, welche ein Einspielen des Updates binnen 30 Tagen empfiehlt, stellt der Flash Player für Windows und macOS sowie dessen Varianten für Google Chrome, Microsoft Edge und den Internet Explorer 11 das größte Risiko dar. Einzig für Linux hat Adobe die entspannte Stufe 3 verhängt, es sei denn dort wird Chrome eingesetzt. Bei den kritischen Fehlern handelt es sich um eine Typenverwechslung (CVE-2018-4920) und den Zugriff auf ein bereits gelöschtes Objekt (CVE-2018-4919). Beide Schwachstellen ermöglichen das Einschleusen von Schadcode, werden aktuell aber noch nicht angegriffen. Sie wurden im Flash Player 29.0.0.113 behoben.

Download: Flash Player 29.0.0.113

Dreamweaver CC
Beim Dreamweaver CC 18.0 und älter besteht die Möglichkeit, kritische Betriebssystembefehle über eine manipulierte URI einzuschleusen (CVE-2018-4924). Ist der Angriff erfolgreich, führt Windows diesen Code im Kontext des aktuellen Benutzers aus. Die Sicherheitslücke, welcher Adobe die Prioritätsstufe 3 zuordnet, wurde im Dreamweaver CC 18.1 geschlossen. Um das Update einzuspielen, muss man im Hilfe-Menü den Punkt "Updates" auswählen.

Connect
Auch Connect hat Probleme mit seinem URI-Handler, hier beschränken sich die möglichen Befehle allerdings auf das Löschen lokaler Dateien und eine erzwungene Deinstallation des Programms (CVE-2018-4923). Dazu kommt die Möglichkeit, beliebige SWF-Dateien hochzuladen (CVE-2018-4921), was sich von Angreifern für Cross-Site-Scripting-Attacken missbrauchen lässt. Beide Fehler gelten als gefährlich, aufgrund der Prioritätsstufe 3 bleibt aber ausreichend Zeit für das Update auf Connect 9.7.5.

Download: Connect 9.7.5