2381953

Adobe stopft kritische Lücken in Digital Editions

10.10.2018 | 10:13 Uhr |

In Digital Editions beseitigt Adobe vier als kritisch eingestufte Sicherheitslücken. Für den Flash Player gibt es diesmal nur Bug-Fixes.

Bereits am Anfang des Monats hatte Adobe umfangreiche Updates für seine PDF-Produkte bereitgestellt. Jetzt folgen Aktualisierungen für den Flash Player, Digital Editions, Framemaker und die Technical Communications Suite. Die insgesamt 11 gestopften Lücken nehmen sich gegen die 86 PDF-Schwachstellen geradezu bescheiden aus.

Im Flash Player hat Adobe keine einzige Sicherheitslücke geschlossen. Dennoch gibt es ein Security Bulletin. Darin heißt es, man habe Probleme bei Funktionen und Leistung behoben. Der neue Flash Player 31.0.0.122 wird im Normalfall über eine automatische Update-Funktion verteilt. Bei Edge und dem Internet Explorer 11 (ab Windows 8.1) ist der Flash Player fest integriert und die neue Version kommt per Windows Update. Google Chrome aktualisiert den integrierten Flash Player ebenfalls selbst. Firefox-Nutzer unter Windows und macOS erhalten das Update in der Regel über einen installierten Adobe-Dienst. Linux-Rechner werden durch die Distributoren mit Updates versorgt.

Allein neun Sicherheitslücken hat Adobe in seiner E-Book-Software Digital Editions beseitigt. Vier Schwachstellen stuft Adobe als kritisch ein, da sie es einem Angreifer ermöglichen können, beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen. Die fünf übrigen Lücken sind Datenlecks. Abhilfe schaffen Updates auf die neue Version 4.5.9 für Windows, Mac und iOS. Letztere ist über iTunes erhältlich.

Die Adobe Technical Communications Suite und das darin enthaltene Layout-Programm Framemaker teilen sich ein Problem. Sie sind anfällig für untergeschobene DLLs. Adobe nennt das „Insecure Library Loading“ oder „DLL Hijacking“, man kann es auch als „Binary Planting“ oder „DLL Preloading“ bezeichnen. Der Angreifer platziert eine gefälschte DLL (Programmbibliothek) an einer Stelle, wo anfällige Software sie vor der regulären DLL findet und prompt lädt. Eine solche Lücke (CVE-2018-15976) steckt in der Technical Communications Suite, eine zweite (CVE-2018-15974) in Framemaker selbst. Beide hat Fortinets Sicherheitsforscher Kushal Arvind Shah entdeckt. Abhilfe schafft jeweils die neue Software-Version 2019 für Windows.

Alle aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2381953