Kritische Sicherheitsupdates hat Adobe an seinem Dezember-Patchday für Adobe Reader, Acrobat und Flash sowie für den Application-Server ColdFusion veröffentlicht. Letzteres hat eine Sicherheitslücke, welche zu einem Denial of Service (DoS) führt. Das Update für Reader und Acrobat schließt insgesamt 20, für Flash sechs Lücken.

Für Flash wurden Probleme mit der Speicherverwaltung behoben. Adobe hat außerdem Lücken gestopft, durch welche Angreifer die Same Origin Policy von Flash umgehen und Informationen über das System auslesen können. So könnte ein Angreifer aus der Ferne die Kontrolle über das betroffene System erlangen.

Nutzer des Flash Players auf Mac OS oder Windows sollten auf Version 16.0.0.235 aktualisieren; falls das Extended Support Release benutzt wird, auf Version 13.0.0.259. Für Linux steht die Version 11.2.202.425 bereit, um die Lücken zu schließen. Für Google Chrome, Internet Explorer 10 für Windows 8 und IE 11 für Windows 8.1 wird Flash automatisch aktualisiert.

Für Adobe Acrobat und Reader beheben die Updates Probleme wie etwa Bugs in der JavaScript-API und in der Verarbeitung von XML, sowie eine ganze Reihe von Lücken in der Speicherverwaltung der Software. Auch über diese können Angreifer die Kontrolle über das System erhalten. Momentan sieht Adobe diese Gefahr allerdings nur als theoretisch an. Nutzer von Acrobat oder Reader X sollten auf Version 10.1.13 updaten, Nutzer von Acrobat oder Reader XI auf Version 11.0.10.

ColdFusion 9 ist nicht betroffen. ColdFusion 10 und 11 hingegen sollten aktualisiert werden, da die Sicherheitslücke erlaubt, die Systemressourcen des Servers so zu beanspruchen, dass das System nicht mehr reagiert (CVE-2014-9166). Die Lücke wurde Adobe vertraulich gemeldet und wird laut dem Unternehmen bis jetzt noch nicht aktiv ausgenutzt.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE