Adobe hat wichtige Sicherheits-Updates für seine PDF-Produkte und den Flash Player bereit gestellt. Damit schließt der Hersteller mehr als 80 Sicherheitslücken.
Wie üblich ist auch Adobe wieder dabei, wenn Microsoft seinen monatlichen
Patch Day
abhält. Im Oktober bringt Adobe turnusgemäß die Quartals-Updates für seine PDF-Tools Acrobat und Reader ein sowie Sicherheits-Updates für den Flash Player. Außerdem steht ein Patch für den Creative Cloud Desktop-Client bereit, der eine Sicherheitslücke schließt.
Mit dem Update auf
Flash Player 23.0.0.185
beseitigt Adobe
12 Schwachstellen
, die fast alle geeignet sind, um Code einzuschleusen und auszuführen. Die neue Versionsnummer gilt für alle Plattformen außer Linux (NPAPI). Für Firefox unter Linux gibt es nach wie vor nur die veraltete Generation 11 des Flash Player. Die neue Version 11.2.202.637 beseitigt immerhin die gleichen Sicherheitslücken wie die Windows-Fassung. Adobe hat jedoch angekündigt, es werde in absehbarer Zeit auch für Linux einen Flash Player geben, der auf dem gleichen technischen Stand ist wie die Windows-Fassung. Bislang gibt es allerdings nur eine Beta-Version.
In seinen PDF-Produkten Acrobat, Acrobat DC,
Acrobat Reader DC
und Adobe Reader XI hat Adobe
71 Schwachstellen
beseitigt. Bis auf eine sind alle geeignet, um mit präparierten PDF-Dateien Code einzuschleusen und auszuführen. Diese eine Lücke kann genutzt werden, um Schutzmechanismen auszuhebeln. Die nicht mehr weiterentwickelten Programme Acrobat XI und Adobe Reader XI sind nun in Version 11.0.18 erhältlich. Ihre Nachfolger Acrobat DC und Acrobat Reader DC sind jeweils in zwei Fassungen (Classic, Continuous) verfügbar, die die aktuellen Versionsnummern 15.006.30243 und 15.020.20039 tragen.
Für den Creative Cloud-Client für den Desktop unter Windows gibt ein
Sicherheits-Update
, das die Versionsnummer auf 3.8.0.310 hebt. Es schließt eine Sicherheitslücke, die den Zugriff auf das übergeordnete Verzeichnis erlaubt. Damit könnte sich ein Benutzer unter Umständen höhere Zugriffsrechte verschaffen, als ihm eigentlich zugedacht sind. Ursache sind fehlende Anführungszeichen um die Zeichenkette, die den Suchpfad enthält.