Adobe muss schon wieder 54 Sicherheitslücken schließen

15. Juli 2015, 9:44 Uhr

													Nach dem Notfall-Patch für Flash Player gestern werden mit dem planmäßigen Juli-Patch-Paket heute 52 als “kritisch” eingestufte Fehler in den PDF-Anwendungen behoben. Angreifer könnten darüber Schadcode einschleusen und ausführen. Zwei Bugs im Shockwave Player erlauben Hackern ebenfalls, die Kontrolle zu übernehmen.

												Nach dem gestern ausgelieferten dem Notfall-Patch für den Flash Player liefert Adobe heute die planmäßig zum sogenannten Juli-Patchday anstehenden Updates für Reader und Acrobat. Außerdem werdne zwei gravierende Fehler im Shockwave Player behoben. Insgesamt schließt das Unternehmen 54 Sicherheitslücken, die es selbst als “kritisch” einstuft. Sie stecken in Acrobat Reader und Acrobat DC, Acrobat Reader und Acrobat X und XI (10.x und 11.x) für Windows und Mac OS X sowie Shockwave Player 12.1.8.158 und früher für Windows und Mac OS X.

Zu den 52 sicherheitsrelevanten Fehlern in den PDF-Anwendungen gehören drei Heap-Puffer-Überläufe, drei Integer-Überläufe, sieben Use-after-Free-Anfälligkeiten sowie neun Speicherfehler. Sie erlauben jeweils das Einschleusen und Ausführen von Schadcode. Weitere neun Bugs ermöglichen es Angreifern, Einschränkungen für das Ausführen von JavaScript-APIs zu umgehen. Die bisherigen Versionen von Reader und Acrobat sind aber auch anfällig für Denial-of-Service-Angriffe oder können unter Umständen persönliche Informationen preisgeben.
Nutzern Adobe empfiehlt, auf die Versionen 11.0.12 und 10.1.15 von Reader und Acrobat XI und X für Windows und Mac OS X umzusteigen. Im Continuous Track hat Adobe Reader und Acrobat DC auf die Version 2015.008.20082 und im Classic Track auf die Version 2015.006.30060 aktualisiert.
Das Update für Shockwave Player beseitigt zwei Speicherfehler. Angreifer könnten sie ausnutzen, um die vollständige Kontrolle über ein System zu übernehmen. Die Version 12.1.9.159 steht im Shockwave Player Download Center. Auch hier rät Adobe, das verfügbare Update so schnell wie möglich einzuspielen.
Zu dem gestern bereitgestellten Notfall-Patch für Flash Player hat Adobe inzwischen ein Security Bulletin nachgereicht. Das Update schließt demnach tatsächlich nur die beiden in den Hacking Team entwendeten Unterlagen beschriebenen Fehler. Das Update für Flash Player 11.2.202.481 für Linux will Adobe noch in dieser Woche nachreichen.
Aufgrund der zahlreichen Schwachstellen und Sicherheitsprobleme empfehlen Sicherheitsanbieter inzwischen regelmäßig, Flash Player zumindest vorübergehend zu deaktivieren. Eine Alternative ist, auf die anfällige Software ganz zu verzichten. Wie sie sich installieren lässt, beschreibt Adobe hier.
Mozilla informiert Firefox-Nutzer mit einer Übersicht zu Plug-ins über veraltete und unsichere Versionen. Die Ansicht bekommt man zu sehen, wenn man in einem geblockten Flash-Inhalt auf den angebotenen Link klickt. Da dieser aber nicht sehr vertrauenswürdig erscheint, machen davon wahrscheinlich wenig Nutzer Gebrauch (Screenshot: ITespresso).
Aufgrund der Sicherheitslücken, die es Hackern immer wieder ermöglichen, in Systeme und Netzwerke einzudringen, steht der Flash Player schon seit Jahren in der Kritik. Für Gesprächsstoff sorgte insbesondere Apples Maßnahme, Flash von seinen Mobilgeräten zu verbannen. Steve Jobs begründete das im April 2010 auch damit, dass Flash “Teil einer vergangenen Ära” sei – bezog sich dabei aber nicht nur auf die Sicherheitsprobleme, sondern auch auf die Leistungseinbußen.
Ein Jahr zuvor hatte Mike Bailey, Sicherheitsforscher bei Foreground Security, Adobe bereits für seine Sicherheitsstrategien bei Flash Player gerügt. Ein Jahr nach der heftigen Kritik von Jobs warf der derzeit bei Google beschäftigte Sicherheitsexperte Tavis Ormandy Adobe vor, 400 von ihm berichtete Sicherheitslücken im Flash Player zwar behoben, aber nicht dokumentiert zu haben.
Da Google und Adobe in Bezug auf die Suche nach Schwachstellen kooperieren, wurde damals vermutet, dass Adobe die Fehler als interne Entdeckungen verbucht und daher nicht erwähnt hat. Das ist in der Branch so üblich. Eine zweite Möglichkeit war, dass die Definition einer Sicherheitslücke der Grund für das Schweigen war. Aus Sicht von Adobe ist ein Fehler grundsätzlich erst dann als Sicherheitslücke einzustufen, wenn ein Proof-of-Conecpt für einen Exploit vorliegt und eine CVE-Nummer vergeben wurde.
Diese Woche fordert Facebooks frisch gebackener Sicherheitschef Alex Stamos Adobe auf, die Flash-Technologie aufzugeben. “Es ist Zeit für Adobe, das Ende von Flash anzukündigen und die Browserhersteller zu bitten, am selben Tag Killbits zu setzen”, heißt es in seinem Tweet. “Selbst wenn es noch 18 Monate dauert, ein festes Datum ist die einzige Möglichkeit, die Abhängigkeiten zu lösen und ein ganzes Ökosystem gleichzeitig zu aktualisieren”, ergänzte er in einem weiteren Tweet.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

					                Lesen Sie auch : 

                                    Adobe reicht Patches für Reader und Acrobat nach

                                    Adobe verschiebt Patchday für Reader und Acrobat wegen Fehlerbehebung

                                    Adobe schließt 17 Sicherheitslücken in Flash Player, Reader und Acrobat