2266168

Adobe stopft Lücken in Flash, PDF und Photoshop

12.04.2017 | 10:06 Uhr |

Adobe hat bei seinem Teil des Patch Day im April fünf Security Bulletins veröffentlicht, die knapp 60 Schwachstellen behandeln. Neben Flash Player, Acrobat und Reader sind auch Photoshop, Creative Cloud und Campaign betroffen.

Im Gegensatz zu Microsoft hält Adobe erfreulicherweise am Konzept fest, gestopfte Sicherheitslücken in Security Bulletins zu dokumentieren. Der Software-Hersteller hat am 11. April fünf Security Bulletins veröffentlicht, in denen es um 59 Schwachstellen geht. Die betroffenen Anwendungen bilden einen Querschnitt durch Adobes Produktpalette - von Flash über PDF bis Bildbearbeitung.

Den mit Abstand größten Brocken dokumentiert das Security Bulletin APSB17-11. Hierin geht es um 47 Sicherheitslücken in den PDF-Produkten Acrobat, Acrobat Reader und Adobe Reader XI. Letzterer ist in der aktualisierten Version 11.0.20 für Windows und Mac erhältlich. Der neuere Acrobat Reader DC (Document Cloud) ist wie der PDF-Editor Acrobat in zwei Varianten verfügbar: Classic in der neuen Version 2015.006.30306 und Continuous in der neuen Version 2017.009.20044. Bis auf wenige Ausnahmen sind alle damit geschlossenen Lücken geeignet, um beliebigen Code einzuschleusen und auszuführen. Dazu muss ein Benutzer nur eine speziell präparierte PDF-Datei öffnen.

Im Flash Player hat Adobe sieben Schwachstellen beseitigt, die sich alle dazu eignen Code einzuschleusen und auszuführen. Darunter sind auch Lücken, die beim Hacker-Wettbewerb Pwn2Own im März demonstriert wurden. Die neue Flash-Player-Version für alle Plattformen ist 25.0.0.148. Während der in Internet Explorer (ab Windows 8) und Edge integrierte Flash Player über Windows Update aktualisiert wird, bekommt der in Chrome integrierte Player das Update von Google. Für Firefox und Co. auf Windows und Mac gibt es die neue Version direkt von Adobe – standardmäßig über eine automatische Update-Funktion. Unter Linux sorgen die Distributionshersteller für die Update-Verteilung.

Zwei Sicherheitslücken schließt Adobe in Photoshop CC 2017 und 2015.5 (CC: Creative Cloud) für Windows und Mac. Eine der Lücken  (CVE-2017-3004) ist als kritisch eingestuft. Ein Angreifer könnte einem potenziellen Opfer eine speziell präparierte PCX-Datei (Bitmap-Grafik) unterschieben. Das dadurch verursachte Speicherchaos kann er nutzen, um eingeschleusten Code auszuführen. Die zweite Lücke betrifft nur Windows. Hier fehlen Anführungszeichen um einen Dateisuchpfad. Ein Angreifer könnte dadurch auf Dateien und Ordner zugreifen, die er an sich nicht erreichen dürfte.

Komplettiert wird Adobe Patch Day durch Sicherheits-Updates für die Creative Cloud Desktop Application für Windows (neu: Version 4.0.0.185) und das Marketing-Programm Campaign v6.11 für Windows und Linux (neu: Build 8795). Auch hier ist eine baldige Installation der Updates empfehlenswert.

0 Kommentare zu diesem Artikel
2266168