Adobe schließt kritische Sicherheitslücken – Microsoft sagt Patchday ab

Adobe hat an seinem Februar-Patchday Sicherheitsupdates für Flash Player, Adobe Campaign und Adobe Digital Editions veröffentlicht, die unter anderem als kritisch bewertete Schwachstellen beseitigen. Microsoft hat indes seinen monatlichen Patchday abgesagt. Als Grund nannte das Unternehmen lediglich einen Fehler, der nicht rechtzeitig behoben werden konnte.

In Flash Player 24.0.0.194 und früher für Windows, macOS, Linux und die in Chrome, Internet Explorer 11 und Edge integrierten Plug-ins stecken insgesamt 13 kritische Anfälligkeiten. Adobe zufolge kann ein Angreifer unter Umständen Schadcode aus der Ferne einschleusen und ausführen, um die vollständige Kontrolle über ein betroffenes System zu übernehmen.

Um das zu verhindern, haben die Entwickler unter anderem vier Speicherfehler, vier Use-after-free-Bugs und drei Pufferüberläufe korrigiert. Entdeckt wurden die Sicherheitslücken von Mitarbeitern von Googles Project Zero, Microsoft, Palo Alto Networks, FortiGuard Labs und CloverSec Labs.

Adobe rät allen Nutzern des Flash Player, so schnell wie möglich auf die Version 24.0.0.221 umzusteigen. Sie steht für Windows, macOS und Linux zur Verfügung. Google verteilt das Update zudem für seinen Browser Chrome. Nutzer von Internet Explorer 11 unter Windows 8.1 und 10 sowie von Microsofts neuem Browser Edge müssen derzeit beim Umgang mit Flash-Inhalten besonders vorsichtig sein, da die Absage des Microsoft-Patchdays bedeutet, dass sie die Fixes erst später erhalten.

Ein Fehler in Adobe Campaign 6.11 16.4 Build 8724 und früher für Windows und Linux erlaubt indes das Umgehen von Sicherheitsfunktionen. Das davon ausgehende Risiko stuft das Unternehmen als mittelschwer ein. Ein bereits authentifizierter Nutzer mit Zugang zur Client-Konsole könnte gefährliche Dateien hochladen und Lese- und Schreibzugriffe ausführen.

Adobes dritter Patch im Februar steht für Digital Editions zur Verfügung. Die Version 4.5.4 für Windows, macOS und Android stopft 9 Löcher. Darunter ist mindestens ein kritischer Heap-Pufferüberlauf, der eine Remotecodeausführung ermöglicht. Acht der neun Schwachstellen wurden von Steven Seeley von Source Incite gemeldet.

Die Absage des Microsoft-Patchdays bedeutet auch, dass sich die Auslieferung eines Updates für die Anfang Februar öffentlich gemachte Zero-Day-Lücke in Windows SMB verzögert. Sie ermöglicht Denial-of-Service-Angriffe. Das von ihr ausgehende Risiko bewertet Microsoft als gering. Laut US-Cert kann ein Hacker einen Absturz des Treibers mrxsmb20.sys auslösen, was wiederum einen Absturz des Betriebssystems und den Blue Screen of Death nach sich zieht.

Loading ...

Microsoft betonte in einer kurzen Stellungnahme, dass die Qualität der monatlichen Updates oberste Priorität habe. „Diesen Monat haben wir in letzter Minute ein Problem entdeckt, das einige Kunden betreffen könnte und das nicht rechtzeitig für die heute geplanten Updates behoben werden konnte. Nach Abwägung aller Optionen haben wir entschieden, die Updates zu verschieben.“

Das legt die Vermutung nahe, dass der Fehler nicht in einem einzelnen Patch steckt, denn in dem Fall hätte Microsoft nur das fragliche Update zurückgehalten. Quellen der Microsoft-Bloggerin Mary Jo Foley zufolge ist Microsofts Build-System der Grund für die Verzögerung. Das Unternehmen wollte sich auf Nachfrage jedoch nicht zu dieser Vermutung äußern. Wann Microsoft die Veröffentlichung der Februar-Patches nachholt, ist nicht bekannt.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Mary Jo Foley, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

18 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

23 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

23 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

24 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

24 Stunden ago