Adobe hat an seinem Februar-Patchday Sicherheitsupdates für Flash Player, Adobe Campaign und Adobe Digital Editions veröffentlicht, die unter anderem als kritisch bewertete Schwachstellen beseitigen. Microsoft hat indes seinen monatlichen Patchday abgesagt. Als Grund nannte das Unternehmen lediglich einen Fehler, der nicht rechtzeitig behoben werden konnte.
In Flash Player 24.0.0.194 und früher für Windows, macOS, Linux und die in Chrome, Internet Explorer 11 und Edge integrierten Plug-ins stecken insgesamt 13 kritische Anfälligkeiten. Adobe zufolge kann ein Angreifer unter Umständen Schadcode aus der Ferne einschleusen und ausführen, um die vollständige Kontrolle über ein betroffenes System zu übernehmen.
Um das zu verhindern, haben die Entwickler unter anderem vier Speicherfehler, vier Use-after-free-Bugs und drei Pufferüberläufe korrigiert. Entdeckt wurden die Sicherheitslücken von Mitarbeitern von Googles Project Zero, Microsoft, Palo Alto Networks, FortiGuard Labs und CloverSec Labs.
Adobe rät allen Nutzern des Flash Player, so schnell wie möglich auf die Version 24.0.0.221 umzusteigen. Sie steht für Windows, macOS und Linux zur Verfügung. Google verteilt das Update zudem für seinen Browser Chrome. Nutzer von Internet Explorer 11 unter Windows 8.1 und 10 sowie von Microsofts neuem Browser Edge müssen derzeit beim Umgang mit Flash-Inhalten besonders vorsichtig sein, da die Absage des Microsoft-Patchdays bedeutet, dass sie die Fixes erst später erhalten.
Ein Fehler in Adobe Campaign 6.11 16.4 Build 8724 und früher für Windows und Linux erlaubt indes das Umgehen von Sicherheitsfunktionen. Das davon ausgehende Risiko stuft das Unternehmen als mittelschwer ein. Ein bereits authentifizierter Nutzer mit Zugang zur Client-Konsole könnte gefährliche Dateien hochladen und Lese- und Schreibzugriffe ausführen.
Adobes dritter Patch im Februar steht für Digital Editions zur Verfügung. Die Version 4.5.4 für Windows, macOS und Android stopft 9 Löcher. Darunter ist mindestens ein kritischer Heap-Pufferüberlauf, der eine Remotecodeausführung ermöglicht. Acht der neun Schwachstellen wurden von Steven Seeley von Source Incite gemeldet.
Die Absage des Microsoft-Patchdays bedeutet auch, dass sich die Auslieferung eines Updates für die Anfang Februar öffentlich gemachte Zero-Day-Lücke in Windows SMB verzögert. Sie ermöglicht Denial-of-Service-Angriffe. Das von ihr ausgehende Risiko bewertet Microsoft als gering. Laut US-Cert kann ein Hacker einen Absturz des Treibers mrxsmb20.sys auslösen, was wiederum einen Absturz des Betriebssystems und den Blue Screen of Death nach sich zieht.
Microsoft betonte in einer kurzen Stellungnahme, dass die Qualität der monatlichen Updates oberste Priorität habe. „Diesen Monat haben wir in letzter Minute ein Problem entdeckt, das einige Kunden betreffen könnte und das nicht rechtzeitig für die heute geplanten Updates behoben werden konnte. Nach Abwägung aller Optionen haben wir entschieden, die Updates zu verschieben.“
Das legt die Vermutung nahe, dass der Fehler nicht in einem einzelnen Patch steckt, denn in dem Fall hätte Microsoft nur das fragliche Update zurückgehalten. Quellen der Microsoft-Bloggerin Mary Jo Foley zufolge ist Microsofts Build-System der Grund für die Verzögerung. Das Unternehmen wollte sich auf Nachfrage jedoch nicht zu dieser Vermutung äußern. Wann Microsoft die Veröffentlichung der Februar-Patches nachholt, ist nicht bekannt.
So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
[mit Material von Mary Jo Foley, ZDNet.com]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
7 Kommentare zu Adobe schließt kritische Sicherheitslücken – Microsoft sagt Patchday ab
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
@Knut der Bär
Dein Kommentar spricht nicht gerade für Verantwortung und Intelligenz, denn da kommt die Vermutung auf, dass es doch völlig egal ist was für ein Problem noch gefunden wurde und welche Nachteile dies für die Kunden bringen würde. Hauptsache der Termin wird eingehalten.
Du hast doch auch fleißig über Samsung gezetert als es brennende Akkus gab, weil es ja zu Personenschäden kommen könnte, und Samsung nicht sofort alle Geräte zurückgerufen hat.
Oder denk mal an die Autohersteller, die ihre Fahrzeuge, trotz Gefahr für Leib und Leben der Kunden, in den Verkauf gebracht haben, weil doch der Termin für die Auslieferung feststand.
Bei der Geschichte mit Microsoft ging es bestimmt NICHT um Gefahr für Leib und Leben, aber der Termin wurde trotzdem gestoppt.
Jetzt erzähl uns doch mal wer von den hier aufgeführten Firmen sich verantwortungsvoller verhalten hat.
Keine Ahnung, welchen Knut der Bär Du meinst, aber ich habe nie über Samsung gezetert. Auch wenn Du das gerne hättest, um mich als Depp hinzustellen. ;-)
Schon interessant, wie Du das schönzufärben versuchst.
Microsoft hat nicht viele regelmäßige Termine, und diesen einen regelmäßigen Termin haben sie vergeigt. Ist so. Keine Sicherheitsupdates. Nichts da.
Dein Name lässt mich aber ahnen, was Du bei einem anderen Unternehmen für Maßstäbe angesetzt hättest.
Auch wenn Du als @Knut der Bär noch nie über Samsung gezetert hast, bist Du doch bestimmt schon mal am arbeiten gewesen?
Und da werden Dir bestimmt schon mal ein paar Dinge nicht so gelungen sein wie die Vorgesetzten oder Du selbst gerne gehabt hättest.
Daher wurden die nicht gut geratenen Dinge vorerst gestoppt, geändert oder sogar noch mal ganz neu konzipiert.
Dies sollte man auch Microsoft zugestehen.
Und wenn Du wirklich mal was im Leben hergestellt hast, ob geistig oder körperlich, müsste auch Dir das schon mal passiert sein.
Oder bist Du etwa unfehlbar?
Noch einen Rat von mir für Dein weiteres Leben, da Du anscheinend noch ohne nötige Lebens-und Arbeitserfahrung bist.
Du solltest nie nach Namen, Aussehen oder Herkunft und Glauben beurteilen, sonst begibst Du Dich ganz schnell auf eine Schiene, auf der sich z. B. gerade ein neuer Präsident bewegt.
Es gibt wohl noch immer keinen vollwertigen Ersatz für den Flash Player, oder warum ist das Zeug noch immer nicht verschwunden?
Hey, Microsoft, das wird ja immer peinlicher. Habt ihr das noch im Griff? ;)
?… Öhm, Dir ist schon klar, dass sie es anscheinend diesmal haben – „im Griff“! Schließlich hat man den Fehler VOR Veröffentlichung entdeckt. Was wird daran also peinlicher? Dein Kommentar ist peinlich, weil es ein völlig in die Hose gegangener Bashingversuch ist.
Du findest es normal einen festen Termin kurzfristig zu vergeigen, weil man zuvor nicht gründlich genug gearbeitet hat?
Arbeitest Du in der Privatwirtschaft? Dann sollte Dir das nicht gefallen. Der Termin ist ja nicht plötzlich da gewesen. So etwas nennt man Planung.
Sie haben es vergeigt, und sagen nicht einmal, warum. Wenn es ihr Build System ist, dann wäre das ein Indiz dafür, dass aie das selber nicht mehr durchblicken.
Und nun die Preisfrage an Divh hellen Kopf: was, wenn das durchgerutscht wäre, und es ein kritisches Problem aufgeworden hätte?
Diesmal ist es gut gegangen, nachdem es bereits auffällig oft schief ging. Aber vertrauenerweckend ist diese Fummelei nicht.
Das Konzept ist kaputt. Sie sollten von Linux und macOS lernen, wie das richtig geht.