2342468

Sicherheits-Updates für Flash Player, InDesign, ColdFusion

11.04.2018 | 09:32 Uhr |

Adobe schließt Sicherheitslücken im Flash Player, InDesign, ColdFusion, Experience Manager und im PhoneGap Push Plugin. Die Lücken in Flash, InDesign und ColdFusion sind zum Teil als kritisch eingestuft.

Zum Patch Day im April trägt Adobe etliche Sicherheits-Updates bei. Der Software-Hersteller hat sechs Security Bulletins veröffentlicht, die in der Summe 19 Sicherheitslücken dokumentieren. Sechs dieser Lücken betreffen den Flash Player, drei davon sind als kritisch eingestuft. Ein Angreifer könnte sie ausnutzen, um beliebigen Code einzuschleusen und auszuführen. Solche Angriffe sind derzeit noch nicht bekannt.

Der neue Flash Player 29.0.0.140 wird im Normalfall über eine automatische Update-Funktion verteilt. Bei Edge und dem Internet Explorer 11 (ab Windows 8.1) ist der Flash Player fest integriert und die neue Version kommt per Windows Update. Google Chrome aktualisiert den integrierten Flash Player ebenfalls selbst. Firefox-Nutzer unter Windows und macOS erhalten das Update über einen installierten Adobe-Dienst. Linux-Rechner werden durch die Distributoren mit Updates versorgt.

Die Layout-Software InDesign CC erhält ein Sicherheits-Update auf Version 13.1, das zwei Schwachstellen beseitigt. Eine der Lücken, CVE-2018-4928, ist als kritisch eingestuft. Bei der Verarbeitung speziell präparierter .inx-Dateien, die zum Datenaustausch dienen, kann ein Speicherfehler auftreten. Dadurch kann ein Angreifer beliebigen Code einschleusen und ausführen.

In ColdFusion 2016 bis einschließlich Update 5 und ColdFusion 11 bis Update 13 hat Adobe fünf Lücken geschlossen. Zwei dieser Schwachstellen (CVE-2018-4939, CVE-2018-4942) stuft der Hersteller als kritisch ein. In ColdFusion 2016 Update 6 und ColdFusion 11 Update 14 sind die Lücken beseitigt. Adobe weist jedoch darauf hin, dass auch das installierte JDK (Java) aktualisiert werden muss, damit der Server wieder sicher ist.

Für Experience Manager 6.1, 6.2 und 6.3 stellt Adobe Hotfix-Pakete bereit, die drei Datenlecks stopfen. Digital Editions bis einschließlich Version 4.5.7 enthält zwei Datenlecks, die Adobe in Version 4.5.8 behoben hat. Apps, die mit dem PhoneGap Push Plugin bis einschließlich Version 1.8.0 erstellt wurden, könnten Javascript-Code im Kontext der App ausführen, um Benutzer zu ungewollten Interaktionen zu verleiten. In PhoneGap Version 2.1.0 ist das Problem beseitigt, allerdings müssen die Apps dann neu kompiliert werden. Das bedeutet, dass die App-Entwickler aktualisierte Versionen ihrer Apps bereit stellen müssen.

Alle Adobe Security Bulletins des aktuellen Monats finden Sie auf dieser Seite des Herstellers.


0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2342468