Adobe schließt kritische Sicherheitslücken in Flash Player, Reader und Acrobat

Adobe hat an seinem Oktober-Patchday mehrere sicherheitsrelevante Updates veröffentlicht. Sie schließen als kritisch eingestufte Lücken in Flash Player, den PDF-Anwendungen Reader und Acrobat sowie der Creative Cloud Desktop-Anwendung. Ein Angreifer kann unter Umständen die vollständige Kontrolle über ein betroffenes System übernehmen.

In Flash Player 23.0.0.162 sowie 18.0.0.375 und früher für Windows und Mac OS X und 11.2.202.637 für Linux stecken insgesamt 12 Anfälligkeiten. Sie erlauben das Einschleusen und Ausführen von Schadcode sowie die Umgehung von Sicherheitsfunktionen. Auch die in Google Chrome sowie Microsoft Edge und Internet Explorer für Windows 10 beziehungsweise 8.1 integrierten Plug-ins sind fehlerhaft.

Entdeckt wurden die Bugs von Mitarbeitern von Palo Alto Networks, Tencent, CloverSec Labs und Cosig sowie Sicherheitsforschern, die für Trend Micros Zero Day Initiative arbeiten. Einige Forscher meldeten die Schwachstellen auch zuerst an das Chromium Vulnerability Rewards Program.

Adobe empfiehlt seinen Nutzern, so schnell wie möglich auf die fehlerbereinigten Versionen 23.0.0.185 oder 18.0.0.382 für Windows und Mac OS X sowie 11.2.202.637 für Linux umzusteigen. Google und Microsoft haben zudem mit der Verteilung von Updates für ihre Browser begonnen, die die Flash-Version 23.0.0.185 enthalten.

Die Updates für die PDF-Anwendungen Reader und Acrobat bringen indes Fixes für 71 Schwachstellen. Betroffen sind Acrobat DC und Acrobat Reader DC in den Versionen 15.006.30201 und früher und 15.017.20053 und früher sowie Acrobat und Reader XI (Version 11.0.17 und früher) für Windows und Mac OS X. Auch hier können zahlreiche Use-after-free-Bugs sowie Speicherfehler eine Remotecodeausführung ermöglichen.

Nutzer sollten so schnell wie möglich auf die neuen Versionen 15.020.20039 oder 15.006.30243 von Acrobat DC und Reader DC sowie 11.0.18 von Reader XI und Acrobat XI umsteigen. Adobe verteilt die Patches über die Update-Funktion der Anwendungen sowie seine Website.

Die Desktop-App der Creative Cloud aktualisiert Adobe auf die Version 3.8.0.310. Das Update soll verhindern, dass Hacker auf Ressourcen in anderen Verzeichnissen zugreifen können, was unter Umständen eine nicht autorisierte Ausweitung von Berechtigungen erlaubt.