2361974

Adobe schließt über 100 PDF-Lücken

11.07.2018 | 10:54 Uhr |

Adobe hat die Quartals-Updates für seine PDF-Tools der Acrobat-Familie bereitgestellt, die mehr als 100 Schwachstellen beseitigen. Auch für den Flash Player gibt es ein Sicherheits-Update.

Adobes Beitrag zum Patch Day in diesem Monat hat es in sich. Alle drei Monate liefert der Hersteller Sicherheits-Updates für seine PDF-Werkzeuge aus. Die April-Updates wurden allerdings auf Mai verschoben. Jetzt ist Adobe wieder im Turnus. Waren es im Mai noch 48 Acrobat-Lücken, sind es jetzt mehr als doppelt so viele. Hinzu kommen Sicherheits-Updates für Flash Player, Connect und Experience Manager.

In seinem Security Bulletin APSB18-21 führt Adobe 104 Sicherheitslücken in Acrobat und Acrobat Reader auf. Knapp die Hälfte (51) der Schwachstellen sind als kritisch eingestuft. Ein Angreifer könnte mit einer präparierten PDF-Datei beliebigen Code einschleusen und ausführen. Die übrigen 53 Lücken eignen sich immerhin noch, um Zugriff auf Informationen zu erhalten, zu denen der Angreifer eigentlich keinen Zugang haben dürfte. Es handelt sich also um Datenlecks.

Abhilfe schaffen die vierteljährlich bereitgestellten Updates für Windows und Mac. Acrobat DC und Acrobat Reader DC sind in den aktualisierten Versionen 2018.011.20055 (Consumer Track) sowie 2015.006.30434 (Classic 2015) erhältlich. Für Acrobat 2017 und Acrobat Reader DC 2017 gibt es Updates auf die neue Version 2017.011.30096. Für Adobe Reader XI gibt es bereits seit Oktober 2017 keine Updates mehr.

Im Flash Player hat Adobe zwei Sicherheitslücken geschlossen. Eine der Schwachstellen (CVE-2018-5007) stuft Adobe als kritisch ein. Der neue Flash Player 30.0.0.134 wird im Normalfall über eine automatische Update-Funktion verteilt. Bei Edge und dem Internet Explorer 11 (ab Windows 8.1) ist der Flash Player fest integriert und die neue Version kommt per Windows Update. Google Chrome aktualisiert den integrierten Flash Player ebenfalls selbst. Firefox-Nutzer unter Windows und macOS erhalten das Update in der Regel über einen installierten Adobe-Dienst. Linux-Rechner werden durch die Distributoren mit Updates versorgt.

Adobe Experience Manager 6.x enthält drei Sicherheitslücken. Alle drei sind Datenlecks (Server-Side Request Forgery, SSRF), eine betrifft nur die Versionen 6.2 und 6.3. Für jede Version und Sicherheitslücke steht jeweils ein Hotfix bereit.

Im Security Bulletin zur neuen Version Adobe Connect 9.8.1 führt der Hersteller drei Sicherheitslücken auf. Eine davon, CVE-2018-4994, ist bereits seit Mai bekannt. Zunächst gab es nur einen Workaround, jetzt ist die unzureichende Prüfung der Berechtigungen wie im Mai angekündigt mit der neuen Programmversion behoben. Einen Fehler im Installationsprogramm (CVE-2018-12805) hat Adobe bereits in Version 9.7 beseitigt, dokumentiert ihn jedoch erst jetzt. Hierbei geht es darum, dass der Installer eine Programmbibliothek in unsicherer Weise lädt, so dass man ihm eine manipulierte DLL unterschieben könnte.

Alle Adobe Security Bulletins des aktuellen Monats finden Sie auf dieser Seite des Herstellers .


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2361974