Channel Header Channel Header
2370023

Adobe stopft Lücken in Acrobat und Flash

15.08.2018 | 09:28 Uhr | Frank Ziemann

Mit weiteren Sicherheits-Updates für seine PDF-Produkte schließt Adobe zwei kritische Lücken. Auch für den Flash Player gibt ein Sicherheits-Update. Außerdem flickt der Hersteller seinen Experience Manager und CC Desktop.

Adobes Anteil am Patch Day ist in diesem Monat weniger umfangreich als im Juli, aber ähnlich vielfältig. Trotz Ankündigung ein wenig unerwartet folgt auf die Quartals-Updates für die Acrobat-Familie im Vormonat nun bereits das nächste Update-Paket. Es stopft zwei Lücken. Hinzu kommen Sicherheits-Updates für Flash Player, CC Desktop und Experience Manager.

Das Adobe Security Bulletin APSB18-29 führt zwei als kritisch eingestufte Sicherheitslücken in Acrobat und Acrobat Reader auf. Ein Angreifer könnte mit einer präparierten PDF-Datei beliebigen Code einschleusen und mit Benutzerrechten ausführen. Dies korrespondiert mit einer Schwachstelle in der Windows-10-Shell (CVE-2018-8414). Adobe will mit den August-Updates verhindern, dass Angreifer mit dem Einbetten bestimmter Dateitypen in PDF-Dateien die Einschränkungen für die Dateiausführung in Windows umgehen können.

Die bereitgestellten Updates gibt es für Windows und Mac. Acrobat DC und Acrobat Reader DC sind in den aktualisierten Versionen 2018.011.20058 (Continuous) sowie 2015.006.30448 (Classic 2015) erhältlich. Für Acrobat 2017 und Acrobat Reader DC 2017 gibt es Updates auf die neue Version 2017.011.30099. Für Adobe Reader XI gibt es bereits seit Oktober 2017 keine Updates mehr.

Im Flash Player hat Adobe fünf Sicherheitslücken geschlossen, die durch Dritte entdeckt gemeldet wurden. Keine dieser Schwachstellen stuft Adobe als kritisch ein, in drei Fällen handelt es sich um Datenlecks. Der neue Flash Player 30.0.0.154 wird im Normalfall über eine automatische Update-Funktion verteilt. Bei Edge und dem Internet Explorer 11 (ab Windows 8.1) ist der Flash Player fest integriert und die neue Version kommt per Windows Update. Google Chrome aktualisiert den integrierten Flash Player ebenfalls selbst. Firefox-Nutzer unter Windows und macOS erhalten das Update in der Regel über einen installierten Adobe-Dienst. Linux-Rechner werden durch die Distributoren mit Updates versorgt.

Für Adobe Experience Manager 6.x gibt es Flicken gegen insgesamt drei Sicherheitslücken. Zwei sind Datenlecks (Cross-site Scripting), eine ermöglicht es Daten zu manipulieren. Für jede betroffene Version und Sicherheitslücke steht jeweils ein Hotfix oder Fix Pack bereit.

Das Installationsprogramm für die Creative Cloud Desktop App bis einschließlich Version 4.5.0.324 ist anfällig für unsicheres Laden einer Programmbibliothek. Das bedeutet, ein Angreifer könnte dem Installer eine manipulierte DLL unterschieben, die dieser brav ausführen würde. Eine solche Schwachstelle ( Binary Planting , DLL Hijacking , DLL Preloading ) hatte Adobe im Herbst 2017 in Connect (mit dem Update auf Version 9.7) geschlossen, jedoch erst im Juli 2018 dokumentiert.

Alle Adobe Security Bulletins des aktuellen Monats finden Sie auf dieser Seite des Herstellers.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2370023