2240930

Adobe stellt viele neue Updates bereit

14.12.2016 | 09:02 Uhr |

Adobe hat Sicherheits-Updates für etliche seiner Programme bereit gestellt, darunter Flash Player, InDesign, DNG Converter und Digital Editions. Seit langer Zeit gibt es auch wieder einen Flash Player für Linux, der auf dem gleichen technischen Stand ist wie der für Windows und Mac.

Beim letzten Patch Day des Jahres schließt Adobe Sicherheitslücken in so vielen Programmen wie schon lange nicht mehr. Neben dem fast schon obligatorischen Sicherheits-Update für den Flash Player liefert Adobe auch Updates für RoboHelp, Digital Editions, ColdFusion Builder, InDesign, Experience Manager (+ Forms), LiveCycle, DNG Converter, Animate und AIR.

Die neue Flash-Player-Version 24.0.0.186 beseitigt 17 Sicherheitslücken. Bis auf eine sind alle diese Schwachstellen geeignet, um beliebigen Code einzuschleusen und auszuführen. Die letzte Lücke kann immerhin noch genutzt werden, um Sicherheitsmaßnahmen zu umgehen. Erstmals seit langer Zeit gilt die neue Versionsnummer für alle Plattformen – auch für Linux. Bislang mussten Linux-Nutzer mit der veralteten Flash-Version 11.2 vorlieb nehmen oder Chrome installieren.

Neu ist im Flash Player 24 und AIR 24 die Unterstützung für sphärische Videos und deren spezielle Metadaten. Im Flash Player 24 können Benutzer die Zugriffsrechte für Kamera und Mikrofon feiner differenzieren, indem sie unterschiedliche Berechtigungen für Websites mit und ohne verschlüsselte Datenübertragung (per HTTPS) festlegen. Ab Firefox 51, der Ende Januar 2017 zu erwarten ist, kann Flash Player 24 für Windows Inhalte auf hochauflösenden Bildschirmen angemessen skalieren.

Adobes RIA-Plattform AIR ist in der neuen Version 24.0.0.180 erhältlich. Diese ist zwar nicht als Sicherheits-Update ausgewiesen, sollte jedoch als solches behandelt werden. Schließlich basiert AIR auf Flash und es kann durchaus jemand einen Weg finden eine Flash-Lücke über AIR auszunutzen.

Bei den in Animate, DNG Converter und InDesign geschlossenen Lücken handelt es sich um Speicherfehler (memory corruption). Bei solchen Bugs kann nicht ganz ausgeschlossen werden, dass es jemand mit genügend Zeit und Motivation schafft einen Weg zu finden, wie man darüber Code einschleusen und ausführen kann. Die Schwachstellen in RoboHelp, Adobe Experience Manager (AEM), AEM Forms und LiveCycle sind XSS- und CSRF-Lücken (Cross-Site Scripting, Cross-Site Request Forgery). ColdFusion Builder und Digital Editions weisen Datenlecks auf.

Auf dieser Übersichtsseite bei Adobe finden Sie alle aktuellen Adobe Security Bulletins.

0 Kommentare zu diesem Artikel
2240930