Adobe schließt kritische Sicherheitslücken – Microsoft sagt Patchday ab

Adobe hat an seinem Februar-Patchday Sicherheitsupdates für Flash Player, Adobe Campaign und Adobe Digital Editions veröffentlicht, die unter anderem als kritisch bewertete Schwachstellen beseitigen. Microsoft hat indes seinen monatlichen Patchday abgesagt. Als Grund nannte das Unternehmen lediglich einen Fehler, der nicht rechtzeitig behoben werden konnte.

In Flash Player 24.0.0.194 und früher für Windows, macOS, Linux und die in Chrome, Internet Explorer 11 und Edge integrierten Plug-ins stecken insgesamt 13 kritische Anfälligkeiten. Adobe zufolge kann ein Angreifer unter Umständen Schadcode aus der Ferne einschleusen und ausführen, um die vollständige Kontrolle über ein betroffenes System zu übernehmen.

Um das zu verhindern, haben die Entwickler unter anderem vier Speicherfehler, vier Use-after-free-Bugs und drei Pufferüberläufe korrigiert. Entdeckt wurden die Sicherheitslücken von Mitarbeitern von Googles Project Zero, Microsoft, Palo Alto Networks, FortiGuard Labs und CloverSec Labs.

Adobe rät allen Nutzern des Flash Player, so schnell wie möglich auf die Version 24.0.0.221 umzusteigen. Sie steht für Windows, macOS und Linux zur Verfügung. Google verteilt das Update zudem für seinen Browser Chrome. Nutzer von Internet Explorer 11 unter Windows 8.1 und 10 sowie von Microsofts neuem Browser Edge müssen derzeit beim Umgang mit Flash-Inhalten besonders vorsichtig sein, da die Absage des Microsoft-Patchdays bedeutet, dass sie die Fixes erst später erhalten.

Ein Fehler in Adobe Campaign 6.11 16.4 Build 8724 und früher für Windows und Linux erlaubt indes das Umgehen von Sicherheitsfunktionen. Das davon ausgehende Risiko stuft das Unternehmen als mittelschwer ein. Ein bereits authentifizierter Nutzer mit Zugang zur Client-Konsole könnte gefährliche Dateien hochladen und Lese- und Schreibzugriffe ausführen.

Adobes dritter Patch im Februar steht für Digital Editions zur Verfügung. Die Version 4.5.4 für Windows, macOS und Android stopft 9 Löcher. Darunter ist mindestens ein kritischer Heap-Pufferüberlauf, der eine Remotecodeausführung ermöglicht. Acht der neun Schwachstellen wurden von Steven Seeley von Source Incite gemeldet.

Die Absage des Microsoft-Patchdays bedeutet auch, dass sich die Auslieferung eines Updates für die Anfang Februar öffentlich gemachte Zero-Day-Lücke in Windows SMB verzögert. Sie ermöglicht Denial-of-Service-Angriffe. Das von ihr ausgehende Risiko bewertet Microsoft als gering. Laut US-Cert kann ein Hacker einen Absturz des Treibers mrxsmb20.sys auslösen, was wiederum einen Absturz des Betriebssystems und den Blue Screen of Death nach sich zieht.

Loading ...

Microsoft betonte in einer kurzen Stellungnahme, dass die Qualität der monatlichen Updates oberste Priorität habe. „Diesen Monat haben wir in letzter Minute ein Problem entdeckt, das einige Kunden betreffen könnte und das nicht rechtzeitig für die heute geplanten Updates behoben werden konnte. Nach Abwägung aller Optionen haben wir entschieden, die Updates zu verschieben.“

Das legt die Vermutung nahe, dass der Fehler nicht in einem einzelnen Patch steckt, denn in dem Fall hätte Microsoft nur das fragliche Update zurückgehalten. Quellen der Microsoft-Bloggerin Mary Jo Foley zufolge ist Microsofts Build-System der Grund für die Verzögerung. Das Unternehmen wollte sich auf Nachfrage jedoch nicht zu dieser Vermutung äußern. Wann Microsoft die Veröffentlichung der Februar-Patches nachholt, ist nicht bekannt.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Mary Jo Foley, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago