Adobe schließt 42 kritische Sicherheitslücken in Reader und Flash Player

Adobe hat Sicherheitsupdates für Acrobat, Acrobat Reader und Flash Player veröffentlicht. Sie beseitigen insgesamt 42 Anfälligkeiten, die das Unternehmen als kritisch einstuft. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und ausführen und die vollständige Kontrolle über ein betroffenes System übernehmen.

29 Schwachstellen stecken in den PDF-Anwendungen Acrobat DC und Acrobat Reader DC 15.020.20042 sowie 15.006.30244 und früher für Windows und Mac OS X sowie Acrobat XI und Reader XI (11.0.18 und früher) für Windows und Mac OS X. Adobe zufolge sind bisher keine Exploits im Umlauf, die die Fehler ausnutzen. Trotzdem rät das Unternehmen, die ab sofort verfügbaren Patches zeitnah, beispielsweise innerhalb von 30 Tagen, einzuspielen.

Die Entwickler haben unter anderem mehrere Speicherfehler, Pufferüberläufe und Use-after-free-Bugs behoben, die eine Remotecodeausführung ermöglichen. Eine Anfälligkeit erlaubt zudem das Umgehen von Sicherheitsvorkehrungen.

Entdeckt wurden die Sicherheitslücken von Mitarbeitern von Clarified Security, Tencent, Fortinet, Source Incite, Nanyang Technological University und Cure53.de. Da Adobe nach eigenen Angaben keine Belohnungen für Details zu Sicherheitslücken zahlt, wurden einige Schwachstellen über die Prämienprogramme von Trend Micro und iDefense eingereicht.

Betroffene Nutzer sollten auf die fehlerbereinigten Versionen 15.023.20053 (Acrobat DC und Acrobat Reader DC Continiuous) oder 15.006.30279 (Acrobat DC und Acrobat Reader DC Classic) umsteigen. Acrobat XI und Reader XI können zudem auf die Version 11.019 aktualisiert werden.

Im Flash Player stopft Adobe am ersten Patchday des Jahres 13 kritische Löcher. Hier sind die Versionen 24.0.0.186 und früher für Windows, Mac OS X und Linux sowie die Plug-ins der Browser Chrome für Windows, Mac OS X, Linux und Chrome OS sowie Internet Explorer 11 und Edge für Windows 8.1 und 10 betroffen. Auch diese Schwachstellen erlauben unter Umständen die vollständige Kontrolle eines Systems aus der Ferne.

Allerdings räumt Adobe den Flash-Patches eine höhere Priorität ein als den Updates für die PDF-Anwendungen. Zwar sind auch die Flash-Lücken bisher noch nicht öffentlich bekannt, die Wahrscheinlichkeit, dass Hacker zeitnah Exploits entwickeln, hält Adobe jedoch für sehr wahrscheinlich. Deswegen lautet Adobes Empfehlung, die aktuelle Flash-Player-Version 24.0.0.194 innerhalb von 72 Stunden zu installieren.

Auch die Flash-Lücken hat Adobe allesamt nicht selbst entdeckt. Sie wurden von Mitarbeitern von Google, Microsoft, Tencent, Cosig und Fortinet sowie über das Chromium Vulnerability Rewards Programm eingereicht.

Alle Updates verteilt Adobe über seine Website sowie die in den Anwendungen enthaltene Update-Funktion. Google und Microsoft wiederum bieten Updates für ihre Browser Chrome beziehungsweise Edge und Internet Explorer an, die eine aktualisierte Version des Flash-Plug-ins enthalten.