Adobe stopft 17 kritische Löcher in Flash Player, Reader und Acrobat

Adobe hat Patches für Flash Player sowie die PDF-Anwendungen Reader und Acrobat veröffentlicht. Sie schließen insgesamt 17 Sicherheitslücken, die das Unternehmen als kritisch bewertet. Ein Angreifer könnte einen Absturz der Anwendungen auslösen und unter Umständen auch die Kontrolle über ein betroffenes System übernehmen.

In Flash Player 13.0.0.206 und früher für Windows, Mac OS X, Chrome und Internet Explorer 10 und 11 stecken insgesamt sechs Schwachstellen. Auch Flash Player 11.2.202.356 für Linux und AIR SDK und Compiler 13.0.0.83 sind einer Sicherheitsmeldung zufolge anfällig.

Mit den Flash-Versionen 13.0.0.214 für Windows und Mac OS X sowie 11.2.202.359 für Linux beseitigt Adobe einen Use-after-free-Bug sowie fünf Lücken, die das Umgehen von Sicherheitsfunktionen ermöglichen. Entdeckt wurden sie vom Keen Team und Team 509, dem japanischen Entwickler Masato Kinugawa und James Forshaw von der Sicherheitsfirma Contextis.

Das Update für Reader XI (11.0.07) und Acrobat XI (11.0.07) korrigiert elf Fehler. Es steht für Windows und Mac OS X zur Verfügung. Nutzer, die nicht auf die Version 11 umsteigen können, sollten den für Reader X und Acrobat X bereitgestellten Patch einspielen.

In den Versionen 11.0.06 und 10.1.9 hat Adobe unter anderem einen Heap Overflow, einen Use-after-free-Bug, einen Pufferüberlauf und mehrere Speicherfehler korrigiert. Darüber hinaus kann ein Fehler in der Implementierung des JavaScript-API zu einer Offenlegung von Informationen führen.

Zwei der Schwachstellen hatte das französische Sicherheitsunternehmen Vupen benutzt, um beim Hackerwettbewerb Pwn2Own 2014 die Kontrolle über ein vollständig gepatchtes Notebook mit Windows 8 zu erhalten. Weitere Lücken haben Sicherheitsforscher von der Nanyang Technological University (China), Trend Micro, Agile Information Security, Ange Optimization, Ukatemi und Venustech Active-Defense Lab an Adobe gemeldet.

Adobe empfiehlt betroffenen Nutzern, die Patches so schnell wie möglich zu installieren. Es hat sie mit der Prioritätsstufe 1 bewertet. Das Risiko ist also sehr hoch, dass Hacker kurzfristig einen Exploit für die Schwachstellen entwickeln.

Ein drittes Sicherheitsupdate soll eine ebenfalls als kritisch eingestufte Lücke in Adobe Illustrator (CS6) schließen. Betroffen sind die Versionen 16.0.3 und 16.2.0 und früher für Windows sowie 16.0.4 und 16.2.1 und früher für Mac OS X. Der Fix für Illustrator muss allerdings manuell installiert werden. Eine Anleitung (PDF) ist auf der Adobe-Website verfügbar.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de