2407998

Adobe schließt mehr als 70 PDF-Lücken

13.02.2019 | 10:06 Uhr | Frank Ziemann

Adobe stellt erneut umfangreiche Sicherheits-Updates für Acrobat und Reader bereit. Das obligatorische Update für den Flash Player schließt eine Sicherheitslücke.

Der Fundus der in Adobes PDF-Tools steckenden Sicherheitslücken scheint nahezu unerschöpflich zu sein. Nach knapp 400 gestopften Lücken im letzten Jahr und einem eher bescheidenen Update zum Jahresanfang klotzt Adobe in diesem Monat wieder mit Updates für Acrobat und Reader. Hinzu kommen Updates für Flash Player, Creative Cloud Desktop und ColdFusion.

Ein Update auf die neue Flash-Player -Version 32.0.0.142 für Windows, macOS, Linux und ChromeOS beseitigt nur eine Sicherheitslücke, ein Datenleck. Die Aktualisierung auf die neue Version erfolgt über die üblichen Update-Kanäle, meist automatisch.

Die PDF-Werkzeuge Acrobat DC und Acrobat Reader DC erhalten wichtige Sicherheits-Updates, die 71 Schwachstellen beheben, darunter 43 als kritisch eingestufte. Die Mehrzahl dieser Lücken erlaubt es einem Angreifer, mit präparierten PDF-Dateien beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen. Eine der Lücken (CVE 2019-7089), war bereits vorab öffentlich bekannt. Hinzu kommen etliche Datenlecks, die mit einer Ausnahme nicht als kritisch gelten.

Abhilfe schaffen die neuen Versionen Acrobat und Reader DC 2019.010.20091 (Continuous) und 2015.006.30475 (Classic 2015), sowie Acrobat 2017 und Acrobat Reader DC 2017 2017.011.30120. Die Updates sind für Windows und macOS erhältlich.

In ColdFusion 2018, 2016 und 11 hat Adobe zwei Sicherheitslücken geschlossen. Eine der Schwachstellen (CVE-2019-7091) stuft der Hersteller als kritisch ein, da ein Angreifer im Erfolgsfall beliebigen Code ausführen könnte. Außerdem hat Adobe eine Cross-Site Scripting-Lücke beseitigt. Abhilfe schaffen ColdFusion 2018 Update 2, ColdFusion 2016 Update 8 sowie ColdFusion 11 Update 16 für alle Plattformen.

Das Installationsprogramm der Creative Cloud Desktop Anwendung bis einschließlich Version 4.7.0.400 enthält eine Schwachstelle aus der Kategorie „unsicheres Laden einer Programmbibliothek“. Andere Bezeichnungen sind etwa „Insecure Library Loading“, „DLL Hijacking“, „Binary Planting“ oder „DLL Preloading“. In der neuen Version 4.8.0.410 ist diese Lücke geschlossen.

Alle aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2407998