Adobe stopft 17 kritische Löcher in Flash Player, Reader und Acrobat

Ein Angreifer kann mithilfe der Schwachstellen die Kontrolle über ein betroffenes System übernehmen. In Flash Player für Windows, Mac OS X und Linux schließt Adobe sechs Lücken. In Reader und Acrobat beseitigt es zwei bei Pwn2Own 2014 demonstrierte Anfälligkeiten.

Adobe hat Patches für Flash Player sowie die PDF-Anwendungen Reader und Acrobat veröffentlicht. Sie schließen insgesamt 17 Sicherheitslücken, die das Unternehmen als kritisch bewertet. Ein Angreifer könnte einen Absturz der Anwendungen auslösen und unter Umständen auch die Kontrolle über ein betroffenes System übernehmen.

Adobe-Logo

In Flash Player 13.0.0.206 und früher für Windows, Mac OS X, Chrome und Internet Explorer 10 und 11 stecken insgesamt sechs Schwachstellen. Auch Flash Player 11.2.202.356 für Linux und AIR SDK und Compiler 13.0.0.83 sind einer Sicherheitsmeldung zufolge anfällig.

Mit den Flash-Versionen 13.0.0.214 für Windows und Mac OS X sowie 11.2.202.359 für Linux beseitigt Adobe einen Use-after-free-Bug sowie fünf Lücken, die das Umgehen von Sicherheitsfunktionen ermöglichen. Entdeckt wurden sie vom Keen Team und Team 509, dem japanischen Entwickler Masato Kinugawa und James Forshaw von der Sicherheitsfirma Contextis.

Das Update für Reader XI (11.0.07) und Acrobat XI (11.0.07) korrigiert elf Fehler. Es steht für Windows und Mac OS X zur Verfügung. Nutzer, die nicht auf die Version 11 umsteigen können, sollten den für Reader X und Acrobat X bereitgestellten Patch einspielen.

In den Versionen 11.0.06 und 10.1.9 hat Adobe unter anderem einen Heap Overflow, einen Use-after-free-Bug, einen Pufferüberlauf und mehrere Speicherfehler korrigiert. Darüber hinaus kann ein Fehler in der Implementierung des JavaScript-API zu einer Offenlegung von Informationen führen.

Zwei der Schwachstellen hatte das französische Sicherheitsunternehmen Vupen benutzt, um beim Hackerwettbewerb Pwn2Own 2014 die Kontrolle über ein vollständig gepatchtes Notebook mit Windows 8 zu erhalten. Weitere Lücken haben Sicherheitsforscher von der Nanyang Technological University (China), Trend Micro, Agile Information Security, Ange Optimization, Ukatemi und Venustech Active-Defense Lab an Adobe gemeldet.

Adobe empfiehlt betroffenen Nutzern, die Patches so schnell wie möglich zu installieren. Es hat sie mit der Prioritätsstufe 1 bewertet. Das Risiko ist also sehr hoch, dass Hacker kurzfristig einen Exploit für die Schwachstellen entwickeln.

Ein drittes Sicherheitsupdate soll eine ebenfalls als kritisch eingestufte Lücke in Adobe Illustrator (CS6) schließen. Betroffen sind die Versionen 16.0.3 und 16.2.0 und früher für Windows sowie 16.0.4 und 16.2.1 und früher für Mac OS X. Der Fix für Illustrator muss allerdings manuell installiert werden. Eine Anleitung (PDF) ist auf der Adobe-Website verfügbar.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Adobe, Flash Player, PDF, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Adobe stopft 17 kritische Löcher in Flash Player, Reader und Acrobat

Kommentar hinzufügen
  • Am 14. Mai 2014 um 10:11 von Jupp

    Wieso gibt’s den Mist eigentlich immer noch? Nutzer: Es gibt (moderne) Alternativen!
    Websidegestalter: Steigt endlich um!
    Admins: Schaltet’s endlich ab!

  • Am 14. Mai 2014 um 8:42 von Komisch ...

    … aber dass Adobe Monat für Monat fast immer mehr als zehn (!) kritische Lücken stopft, und alle finden das normal, das ist doch katastrophal?

    Bei Apple und Microsoft regt die Welt sich über eine, zwei Lücken auf, die schnell geschlossen werden, aber Adobe hat nur EINEN Flashplayer, den sie supporten, und kein ganzes Betriebssystem, und dennoch gibt es monatlich >zehn (!) kritische Updates, und keiner beklagt sich.

    Wie sehr muss der Flash Player doch zusammengegrützt sein, ein erbärmlich unsicheres Stück an Binärcode, traurig.

    • Am 14. Mai 2014 um 14:04 von punisher

      Flash gehört seit Jahren abgeschafft und jetzt zu HTML5 Zeiten erst recht!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *