Categories: Cybersicherheit

Flash Player: Adobe warnt vor kritischer Zero-Day-Lücke

Für die Zero-Day-Lücke in Flash Player, vor der Adobe jetzt warnt, ist bereits ein Exploit im Umlauf. Sie Schwachstelle mit der Kennung CVE-2016-4117 wird von Adobe selbst als kritisch eingestuft. Unter Umständen hat ein Angreifer die Möglichkeit, die vollständige Kontrolle über ein betroffenes System zu übernehmen. Das Unternehmen stopft darüber hinaus zahlreiche Löcher in seinen PDF-Anwendungen Reader und Acrobat.

Der Fehler befindet sich in Flash Player 21.0.0.226 und früher für Windows, Mac OS X, Linux und Chrome OS. Adobe will bereits morgen einen Patch zur Verfügung stellen. Entdeckt wurde die Schwachstelle von Genwei Jiang vom Sicherheitsanbieter FireEye.

Indes schließen die jüngsten Updates für Acrobat DC und Reader DC 92 als kritisch eingestufte Sicherheitslücken. Betroffen sind die Versionen 15.010.20060 und früher sowie 15.006.30121 und früher für Windows und Mac OS X. Nicht mehr sicher sind auch Acrobat XI und Reader XI (Version 11.0.15 und früher).

Adobe entfernt zahlreiche Use-after-free-Bugs sowie Speicherfehler, die das Einschleusen und Ausführen von Schadcode erlauben. Darüber hinaus ist es möglich, Ausführungseinschränkungen des JavaScript-API zu umgehen. Eine Anfälligkeit kann dazu führen, dass die PDF-Anwendungen persönliche Informationen preisgeben.

Anwender, die davon betroffen sind, sollten auf die korrigierten Versionen 15.016.20039 oder 15.006.30172 von Acrobat DC und Reader DC für Windows und Mac OS X umsteigen. Acrobat XI und Reader XI hat Adobe auf die Version 11.0.16 aktualisiert.

Außerdem steht auch ein Patch steht für ColdFusion 10 Update 18, ColdFusion 11 Update 7 und ColdFusion 2016.0.0 bereit. Er soll drei Lücken schließen, von denen laut Adobe ein hohes Risiko ausgeht. ColdFusion ist unter anderem anfällig für Cross-Site-Scripting. Darüber hinaus kommt es zu Problemen bei der Verifizierung von Wild-Card-Zertifikaten. Adobe aktualisiert aber auch die Apache Commons Collections Library.

Adobe verteilt die neuen Versionen der PDF-Anwendungen über die integrierte Update-Funktion und seine Website. In einer Sicherheitsmeldung findet sich zudem eine Beschreibung für die Aktualisierung von ColdFusion 10, 11 und 2016.

Immer wieder von Sicherheitsproblemen sind beben Flash und PDF auch Java und Silverlight betroffen. Anwender sollten auf diese Plug-ins entweder komplett verzichten oder sie so konfigurieren, dass sie nicht automatisch Inhalte wiedergeben, sondern erst die Zustimmung des Anwenders einholen. Das als “Click-To-Play” bekannte Feature bieten unter anderen Firefox und Chrome.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago