Categories: Sicherheit

Flash Player: Adobe warnt vor kritischer Zero-Day-Lücke

Für die Zero-Day-Lücke in Flash Player, vor der Adobe jetzt warnt, ist bereits ein Exploit im Umlauf. Sie Schwachstelle mit der Kennung CVE-2016-4117 wird von Adobe selbst als kritisch eingestuft. Unter Umständen hat ein Angreifer die Möglichkeit, die vollständige Kontrolle über ein betroffenes System zu übernehmen. Das Unternehmen stopft darüber hinaus zahlreiche Löcher in seinen PDF-Anwendungen Reader und Acrobat.

Der Fehler befindet sich in Flash Player 21.0.0.226 und früher für Windows, Mac OS X, Linux und Chrome OS. Adobe will bereits morgen einen Patch zur Verfügung stellen. Entdeckt wurde die Schwachstelle von Genwei Jiang vom Sicherheitsanbieter FireEye.

Indes schließen die jüngsten Updates für Acrobat DC und Reader DC 92 als kritisch eingestufte Sicherheitslücken. Betroffen sind die Versionen 15.010.20060 und früher sowie 15.006.30121 und früher für Windows und Mac OS X. Nicht mehr sicher sind auch Acrobat XI und Reader XI (Version 11.0.15 und früher).

Adobe entfernt zahlreiche Use-after-free-Bugs sowie Speicherfehler, die das Einschleusen und Ausführen von Schadcode erlauben. Darüber hinaus ist es möglich, Ausführungseinschränkungen des JavaScript-API zu umgehen. Eine Anfälligkeit kann dazu führen, dass die PDF-Anwendungen persönliche Informationen preisgeben.

Anwender, die davon betroffen sind, sollten auf die korrigierten Versionen 15.016.20039 oder 15.006.30172 von Acrobat DC und Reader DC für Windows und Mac OS X umsteigen. Acrobat XI und Reader XI hat Adobe auf die Version 11.0.16 aktualisiert.

Außerdem steht auch ein Patch steht für ColdFusion 10 Update 18, ColdFusion 11 Update 7 und ColdFusion 2016.0.0 bereit. Er soll drei Lücken schließen, von denen laut Adobe ein hohes Risiko ausgeht. ColdFusion ist unter anderem anfällig für Cross-Site-Scripting. Darüber hinaus kommt es zu Problemen bei der Verifizierung von Wild-Card-Zertifikaten. Adobe aktualisiert aber auch die Apache Commons Collections Library.

Adobe verteilt die neuen Versionen der PDF-Anwendungen über die integrierte Update-Funktion und seine Website. In einer Sicherheitsmeldung findet sich zudem eine Beschreibung für die Aktualisierung von ColdFusion 10, 11 und 2016.

Immer wieder von Sicherheitsproblemen sind beben Flash und PDF auch Java und Silverlight betroffen. Anwender sollten auf diese Plug-ins entweder komplett verzichten oder sie so konfigurieren, dass sie nicht automatisch Inhalte wiedergeben, sondern erst die Zustimmung des Anwenders einholen. Das als “Click-To-Play” bekannte Feature bieten unter anderen Firefox und Chrome.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

1 Stunde ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

2 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

19 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

19 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

22 Stunden ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago