Adobe schließt 42 kritische Sicherheitslücken in Reader und Flash Player

In den PDF-Anwendungen stecken 29 Anfälligkeiten. Sie erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne. Das gilt auch für 13 Schwachstellen in Flash Player. Betroffen sind alle unterstützten Versionen beider Anwendungen.

Adobe hat Sicherheitsupdates für Acrobat, Acrobat Reader und Flash Player veröffentlicht. Sie beseitigen insgesamt 42 Anfälligkeiten, die das Unternehmen als kritisch einstuft. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und ausführen und die vollständige Kontrolle über ein betroffenes System übernehmen.

Adobe (Bild: Adobe)29 Schwachstellen stecken in den PDF-Anwendungen Acrobat DC und Acrobat Reader DC 15.020.20042 sowie 15.006.30244 und früher für Windows und Mac OS X sowie Acrobat XI und Reader XI (11.0.18 und früher) für Windows und Mac OS X. Adobe zufolge sind bisher keine Exploits im Umlauf, die die Fehler ausnutzen. Trotzdem rät das Unternehmen, die ab sofort verfügbaren Patches zeitnah, beispielsweise innerhalb von 30 Tagen, einzuspielen.

Die Entwickler haben unter anderem mehrere Speicherfehler, Pufferüberläufe und Use-after-free-Bugs behoben, die eine Remotecodeausführung ermöglichen. Eine Anfälligkeit erlaubt zudem das Umgehen von Sicherheitsvorkehrungen.

Entdeckt wurden die Sicherheitslücken von Mitarbeitern von Clarified Security, Tencent, Fortinet, Source Incite, Nanyang Technological University und Cure53.de. Da Adobe nach eigenen Angaben keine Belohnungen für Details zu Sicherheitslücken zahlt, wurden einige Schwachstellen über die Prämienprogramme von Trend Micro und iDefense eingereicht.

Betroffene Nutzer sollten auf die fehlerbereinigten Versionen 15.023.20053 (Acrobat DC und Acrobat Reader DC Continiuous) oder 15.006.30279 (Acrobat DC und Acrobat Reader DC Classic) umsteigen. Acrobat XI und Reader XI können zudem auf die Version 11.019 aktualisiert werden.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Im Flash Player stopft Adobe am ersten Patchday des Jahres 13 kritische Löcher. Hier sind die Versionen 24.0.0.186 und früher für Windows, Mac OS X und Linux sowie die Plug-ins der Browser Chrome für Windows, Mac OS X, Linux und Chrome OS sowie Internet Explorer 11 und Edge für Windows 8.1 und 10 betroffen. Auch diese Schwachstellen erlauben unter Umständen die vollständige Kontrolle eines Systems aus der Ferne.

Allerdings räumt Adobe den Flash-Patches eine höhere Priorität ein als den Updates für die PDF-Anwendungen. Zwar sind auch die Flash-Lücken bisher noch nicht öffentlich bekannt, die Wahrscheinlichkeit, dass Hacker zeitnah Exploits entwickeln, hält Adobe jedoch für sehr wahrscheinlich. Deswegen lautet Adobes Empfehlung, die aktuelle Flash-Player-Version 24.0.0.194 innerhalb von 72 Stunden zu installieren.

Auch die Flash-Lücken hat Adobe allesamt nicht selbst entdeckt. Sie wurden von Mitarbeitern von Google, Microsoft, Tencent, Cosig und Fortinet sowie über das Chromium Vulnerability Rewards Programm eingereicht.

Alle Updates verteilt Adobe über seine Website sowie die in den Anwendungen enthaltene Update-Funktion. Google und Microsoft wiederum bieten Updates für ihre Browser Chrome beziehungsweise Edge und Internet Explorer an, die eine aktualisierte Version des Flash-Plug-ins enthalten.

WEBINAR

SSL Best Practices: Security Beyond Certificates

Mit diesem Webinar möchten wir Sie über sämtliche Möglichkeiten informieren, die Sie für einen ausreichenden Schutz ihrer IT-Infrastruktur benötigen. Im Mittelpunkt stehen dabei bewährte SSL Best Practices.

Themenseiten: Adobe, Browser, Flash Player, PDF, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Adobe schließt 42 kritische Sicherheitslücken in Reader und Flash Player

Kommentar hinzufügen
  • Am 11. Januar 2017 um 17:24 von AZT

    Es wird Zeit Flash endgültig zu beerdigen. Bei mir ist Flash seit einem Jahr komplett vom Rechner genommen. Gleiches gilt für JAVA.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *