(update) Adobe stopft acht kritische Sicherheitslöcher in Reader und Acrobat

    Adobe stopft acht kritische Sicherheitslöcher in Reader und Acrobat

    Adobe hat ein Sicherheitsupdate für Reader und Acrobat veröffentlicht. Es soll insgesamt acht Schwachstellen in den PDF-Anwendungen für Windows und OS X schließen, die das Unternehmen als kritisch bewertet. Eine der Lücken könnte sogar genutzt werden, um Schadcode einzuschleusen und unter Windows mit Administratorrechten außerhalb der Sandbox auszuführen.

    Von den Anfälligkeiten betroffen sind Reader und Acrobat XI (11.0.08) und früher sowie Reader und Acrobat X (10.1.11) und früher. Einer Sicherheitsmeldung zufolge beseitigt Adobe unter anderem einen Use-after-free-Bug, der eine Remotecodeausführung ermöglicht. Gleiches gilt für zwei Heap-Überläufe und zwei Speicherfehler. Ein anderer Speicherfehler macht Reader und Acrobat anfällig für Denial-of-Service-Angriffe. Zudem schließt Adobe eine universelle Cross-Site-Scripting-Lücke, die allerdings nur unter OS X auftritt. Entdeckt wurden die Fehler unter anderem von James Forshaw von Googles Project Zero sowie zwei Forschern der Nanyang Technological University in China.
    Adobe empfiehlt allen betroffenen Nutzern von Reader und Acrobat, das Update auf die Version 11.0.09 einzuspielen. Es wird über die Updatefunktion der Anwendungen oder die Adobe-Website verteilt.
    Anwendern, die nicht auf Reader oder Acrobat XI umsteigen können, steht die Version 10.1.12 zur Verfügung. Ursprünglich hatte Adobe das Udpate für seinen monatlichen Patchday in der vergangenen Woche geplant. Aufgrund von Fehlern, die bei routinemäßigen Regressionstests auftraten,
    verschob das Unternehmen die Veröffentlichung kurzfristig auf diese Woche.

    Die jetzt gepatchte Version hatte Adobe im August bereitgestellt, um ein Zero-Day-Loch in Reader und Acrobat zu stopfen. Auch hier war es unter Windows möglich,
    die Sandbox der Anwendungen zu umgehen.

    Quelle: zdnet.de

    Download: Adobe Reader 11.0.09

    23. Januar 2015, 17:18
    Trotz Software-Update Kritische Lücke im Adobe Flash-Player bleibt offen


    In der aktuellen Version des Adobe Flash-Player wurde eine schwere Sicherheitslücke nicht behoben. Sie war bereits bekannt - Kriminelle nutzen sie bereits aus, um Schadcode zu verteilen.
    Fast alle PC- und Mac-Nutzer sind potentiell gefährdet.
    Das BSI und Sicherheitsexperten raten dazu, den Flash-Player bis zur Veröffentlichung eines Updates zu deinstallieren.

    Kriminelle können über Flash-Player Schadcode einschleusen

    Das neue Update ist erst wenige Stunden alt - und offenbar ist eine kritische Sicherheitslücke nicht behoben worden. Ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als kritisch bewertetes Sicherheitsproblem im Adobe Flash Player ist auch in der aktuellen Programmversion noch enthalten. Damit sei es Angreifern möglich, über infizierte Webseiten mit Flash-Inhalten Schadcode auf den Rechner des Nutzers einzuschleusen.
    Wer ist betroffen?

    Betroffen sind bislang alte und aktuelle Versionen der Browser Internet Explorer und Firefox, die Windows, Mac OS X oder Linux ausgeführt werden. In Chrome werde laut heise online bislang kein Schadcode ausgeliefert. Dies sei aber technisch ohne weiteres möglich und könne sich jederzeit ändern. Mit einem in Hacker-Kreisen verfügbaren Programmpaket werde die Sicherheitslücke laut Experten bereits für kriminelle Zwecke ausgenutzt.

    Anzeige
    Wie Sie sich schützen können

    Das BSI rät deswegen, den Flash-Player bis zur Veröffentlichung einer reparierten Version zu deinstallieren. Wer dies nicht möchte oder kann, ist angehalten, zumindest das Flash-Plug-in seines Browsers bis auf weiteres zu deaktivieren. Das funktioniert über das Einstellungen-Menü des jeweiligen Browsers und den Unterpunkt "Plug-ins". Bei Flash-Entwickler Adobe ist die Sicherheitslücke bereits bekannt, werde allerdings derzeit noch untersucht.

    Nachrichten aus Politik, Kultur, Wirtschaft und Sport - Süddeutsche.de

    Sicherheitslücke: Experten raten zum sofortigen Abschalten des Flash-Players

    Das IT-Fachmagazin "Heise Security" warnt seit Mittwoch vor einer Schwachstelle in Adobes Flash-Player, die bereits aktiv von Kriminellen ausgenutzt wird. Adobe hat am Donnerstag zwar einen Patch für den Flash-Player veröffentlicht, dieses Update scheint aber lediglich eine andere, ebenfalls kritische Sicherheitslücke geschlossen zu haben.

    Entdeckt worden ist das Problem vom Sicherheitsexperten "Kafeine". Ihm zufolge betrifft der Fehler die Versionen von 15.0.0.223 bis 16.0.0.277. Nach Angaben von "Heise Security" ist aber auch die jüngste Version 16.0.0.287 für Windows und Mac OS X beziehungsweise 11.2.202.438 für Linux weiter verwundbar. Adobe habe angekündigt, die Lücke in der kommenden Woche abzudichten.

    Wie "Kafeines" Tests ergaben, sind mehrere Systeme verwundbar. Nach seinen Angaben handelt es sich dabei um den Internet Explorer 6 bis 9 unter Windows XP, den Internet Explorer 8 unter Windows 7 und den Internet Explorer 10 bei Windows 8. Unter Windows 8.1 ist der Internet Explorer 11 betroffen. Daneben ist auch der Firefox-Browser angreifbar, wie "Kafeine" per Twitter mitteilt. Chrome scheint bislang nicht betroffen zu sein, es kann aber jederzeit dazu kommen, dass auch über Googles Browser Schadsoftware geschleust wird.

    Medienberichten zufolge wird die Lücke bereits von Hackern ausgenutzt. Dazu verwenden sie angeblich ein sogenanntes Exploit-Kit namens Angler. Mithilfe dieser Software wird eine Malware verbreitet, die zum Aufbau eines sogenannten Botnets dienen kann.

    Um den Flash Player loszuwerden, empfiehlt "Heise Online" die Software auf dem üblichen Weg zu deinstallieren. Die meisten Browser haben aber noch eigene Flash-Player-Plug-ins. Chrome-Nutzer können die Einstellungen zum Abschalten des Flash-Player-Plug-ins durch die Eingabe von chrome:plugins in die Adressleiste ansteuern. Hier erfahren Sie, wie Sie weiter vorgehen müssen.

    Wie Firefox-Nutzer das Flash-Player-Plugin abschalten, wird hier erklärt. Beim Internet Explorer lässt sich das Plug-in deaktivieren, indem man oben rechts das Zahnrad-Symbol anklickt und unter "Add-Ons verwalten" die Option "Shockwave Flash Object" ansteuert.

    Will man den Flash-Player nicht gleich deaktivieren, besteht die Möglichkeit, zu verhindern, dass Plug-ins automatisch ausgeführt werden. Wie das funktioniert, wird hier erklärt.

    SPIEGEL ONLINE - Nachrichten

    29.01.2015, 15:59 Uhr | t-online.de

    Adobe flickt den Flash Player

    Nach Bekanntwerden einer kritischen Sicherheitslücke hat Adobe ein weiteres Update für seinen Flash Player veröffentlicht. Allerdings installiert sich der schützende Patch nicht unter allen Betriebssystemen und auf allen Browsern automatisch. Wer etwa Firefox unter Windows 7 nutzt, sollte selbst Hand anlegen oder den Browser wechseln.

    Erst vor wenigen Tagen gab Adobe zwei Sicherheitslücken im weit verbreiteten Flash Player bekannt, über die Online-Kriminelle Schadcode einschleusen und die Kontrolle über fremde Rechner übernehmen können.Allerdings lieferte das Unternehmen bisher nur ein Sicherheitsupdate (Flash Player 16.0.0.287) automatisch aus.

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfahl daher, den Flash Player im Browser zu deaktivieren. Zum Beginn der Woche stellte Adobe nun die Version 16.0.0.296 bereit, die sich allerdings zunächst nur im Internet Explorer unter Windows 7 automatisch installierte. Leserberichten zufolge erfolgt das Update unter Mac OS X und Linux inzwischen auch automatisch. Nutzer von Windows 7 und Firefox oder Chrome sollten auf den Internet Explorer umsteigen, bis das Auto-Update verfügbar ist. Wer nicht so lange warten möchte, kann den Flash Player 16.0.0.296 auch manuell installieren.

    Immer wieder Ärger mit Flash

    Der Flash Player ist dafür bekannt, mit kritischen Sicherheitslücken Angriffsflächen für Hacker zu bieten. Notfall-Updates wie die Version 16.0.0.287 vom Donnerstag und der nun veröffentlichte Flash Player 16.0.0.296 sind jedoch eher selten.

    Ein kompletter Verzicht auf den Flash Player dürften vielen Internetnutzer trotz der eklatanten Sicherheitsmängel jedoch schwer fallen. Obwohl es mit HTML 5 bereits seit Längerem eine Alternative gibt, lassen sich zahlreiche Video-Streams immer noch nur mit installiertem Flash Player betrachten.

    Einen gewissen Schutz kann die sogenannte "Plug-in-Bremse" bieten, bei der Internetnutzer der Wiedergabe eine Flash-Elements explizit zustimmen müssen. Die "Plug-in-Bremse" lässt sich etwa in Firefox über das Menü "Extras" -> "Add-ons" -> "Plugins" aktivieren. Wählen Sie rechts neben dem Eintrag für den Flash Player die Einstellung "Nachfragen, ob aktiviert werden " soll im Aufklapp-Menü

    News - Service - Shopping bei t-online.de

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden