Adobe stopft Sicherheitslücken in Flash und ColdFusion

Adobe hat Updates für Flash Player auf Windows, Mac und Linux freigegeben. Mit ihnen werden kritische Schwachstellen behoben, die einen Absturz verursachen und einem Angreifer erlauben könnten, die Kontrolle über eines der betroffenen Systeme zu übernehmen. Auf ungepatchten Systemen könnte Angriffscode ausgeführt werden, ohne dass der Nutzer mitwirkt oder überhaupt davon erfährt.

Gleichzeitig werden Adobe AIR, das AIR SDK sowie Compiler aktualisiert. Ein Sicherheits-Hotfix gilt ColdFusion, der Plattform für Webapplikationen. Der ColdFusion-Applikationsserver erlaube Remote-Angriffe, die zu einer Übernahme eines Systems führen könnten, sowie Cross-Site-Scripting-Attacken (XSS).

Laut Adobe stehen diese Updates in keinem Zusammenhang damit, dass kürzlich Quellcode von ColdFusion bei einem umfangreichen Hackerangriff entwendet wurde – von dem außerdem mindestens 38 Millionen Nutzer und ihre Passwörter betroffen waren. Einem Adobe-Sprecher zufolge adressieren die aktuellen Updates vielmehr Sicherheitslücken, die bislang noch nicht ausgenutzt wurden.

Dem widerspricht allerdings der Sicherheitsexperte Brian Krebs. Ihm zufolge behob Adobe unter anderem eine Zero-Day-Lücke, die früher in diesem Jahr von Angreifern benutzt wurde, um in die Netzwerke verschiedener Firmen einzudringen. Für ColdFusion musste Adobe in diesem Jahr zudem schon mehrfach Sicherheitsupdates liefern.

In seinen Sicherheitshinweisen für Flash Player listet der Hersteller die anfälligen Softwareversionen sowie die notwendigen Schritte auf, um die jeweils benutzte Version zu bestimmen. Ein automatische Aktualisierung soll der Player erfahren, wenn er mit Google Chrome oder Internet Explorer auf Windows 8 / 8.1 installiert ist. Ein weiteres Sicherheitsbulletin beschreibt das empfohlene Vorgehen bei ColdFusion.

• Download Adobe Flash Player 11.9.900.152

[mit Material von Larry Seltzer, ZDNet.com]