Adobe schließt kritische Sicherheitslücken in Flash Player, Reader und Acrobat

Adobe hat an seinem monatlichen Patchday Updates für Flash Player und die PDF-Anwendungen Reader und Acrobat veröffentlicht. Sie sollen jeweils als kritisch eingestufte Schwachstellen beseitigen. Unter Umständen ist es möglich, Schadcode einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen.

In Acrobat und Reader DC Version 2019.x, Acrobat und Reader 2017 sowie Acrobat und Reader Version 2015.x für Windows und macOS stecken insgesamt 83 Anfälligkeiten. Davon sind 48 als kritisch und 35 als wichtig eingestuft. Die kritischen Bugs erlauben eine Remotecodeausführung. 35 Out-of-Bounds-Speicherfehler sollen indes den Zugriff auf persönliche Informationen ermöglichen.

Nutzern stehen ab sofort die fehlerbereinigten Versionen 2019.012.20034 von Acrobat und Reader DC, 2017.011.30142 von Acrobat und Reader 2017 sowie 2015.006.030497 von Acrobat und Reader DC 2015 zur Verfügung. Adobe verteilt die Patches über die Updatefunktion der Anwendungen und seine Website.

In Flash Player 32.0.0.171 und früher für Windows, macOS, Linux und die Browser Google Chrome, Microsoft Internet Explorer und Edge stopft Adobe ein kritisches Sicherheitsloch. Dabei handelt es sich um einen Use-after-free-Bug, der eine Remotecodeausführung ermöglicht. Nutzer sollten zeitnah auf die neue Version 32.0.0.192 umsteigen, die direkt von Adobe beziehungsweise für die Browser Chrome, Internet Explorer und Edge von Google und Microsoft verteilt wird.

Entdeckt wurden die Anfälligkeiten von unabhängigen Sicherheitsforschern sowie Mitarbeitern von Viettel Cyber Security, Source Incite, Qihoo360, Palo Alto Networks, Cisco, Tencent und Star Labs. In vielen Fällen meldeten die Forscher und Unternehmen die Bugs über Trend Micros Zero Day Initiative, statt sich direkt an Adobe zu wenden. Ein Grund dafür dürfte sein, dass Adobe im Gegensatz zu anderen Anbietern wie Google oder Microsoft zumindest offiziell keine Prämien für Details zu neuen Sicherheitslücken zahlt.