Adobe hat Updates für Flash Player auf Windows, Mac und Linux freigegeben. Mit ihnen werden kritische Schwachstellen behoben, die einen Absturz verursachen und einem Angreifer erlauben könnten, die Kontrolle über eines der betroffenen Systeme zu übernehmen. Auf ungepatchten Systemen könnte Angriffscode ausgeführt werden, ohne dass der Nutzer mitwirkt oder überhaupt davon erfährt.
Gleichzeitig werden Adobe AIR, das AIR SDK sowie Compiler aktualisiert. Ein Sicherheits-Hotfix gilt ColdFusion, der Plattform für Webapplikationen. Der ColdFusion-Applikationsserver erlaube Remote-Angriffe, die zu einer Übernahme eines Systems führen könnten, sowie Cross-Site-Scripting-Attacken (XSS).
Laut Adobe stehen diese Updates in keinem Zusammenhang damit, dass kürzlich Quellcode von ColdFusion bei einem umfangreichen Hackerangriff entwendet wurde – von dem außerdem mindestens 38 Millionen Nutzer und ihre Passwörter betroffen waren. Einem Adobe-Sprecher zufolge adressieren die aktuellen Updates vielmehr Sicherheitslücken, die bislang noch nicht ausgenutzt wurden.
Dem widerspricht allerdings der Sicherheitsexperte Brian Krebs. Ihm zufolge behob Adobe unter anderem eine Zero-Day-Lücke, die früher in diesem Jahr von Angreifern benutzt wurde, um in die Netzwerke verschiedener Firmen einzudringen. Für ColdFusion musste Adobe in diesem Jahr zudem schon mehrfach Sicherheitsupdates liefern.
In seinen Sicherheitshinweisen für Flash Player listet der Hersteller die anfälligen Softwareversionen sowie die notwendigen Schritte auf, um die jeweils benutzte Version zu bestimmen. Ein automatische Aktualisierung soll der Player erfahren, wenn er mit Google Chrome oder Internet Explorer auf Windows 8 / 8.1 installiert ist. Ein weiteres Sicherheitsbulletin beschreibt das empfohlene Vorgehen bei ColdFusion.
[mit Material von Larry Seltzer, ZDNet.com]
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.