Adobe schließt kritische Sicherheitslücken – Microsoft sagt Patchday ab

Adobe hat an seinem Februar-Patchday Sicherheitsupdates für Flash Player, Adobe Campaign und Adobe Digital Editions veröffentlicht, die unter anderem als kritisch bewertete Schwachstellen beseitigen. Microsoft hat indes seinen monatlichen Patchday abgesagt. Als Grund nannte das Unternehmen lediglich einen Fehler, der nicht rechtzeitig behoben werden konnte.

In Flash Player 24.0.0.194 und früher für Windows, macOS, Linux und die in Chrome, Internet Explorer 11 und Edge integrierten Plug-ins stecken insgesamt 13 kritische Anfälligkeiten. Adobe zufolge kann ein Angreifer unter Umständen Schadcode aus der Ferne einschleusen und ausführen, um die vollständige Kontrolle über ein betroffenes System zu übernehmen.

Um das zu verhindern, haben die Entwickler unter anderem vier Speicherfehler, vier Use-after-free-Bugs und drei Pufferüberläufe korrigiert. Entdeckt wurden die Sicherheitslücken von Mitarbeitern von Googles Project Zero, Microsoft, Palo Alto Networks, FortiGuard Labs und CloverSec Labs.

Adobe rät allen Nutzern des Flash Player, so schnell wie möglich auf die Version 24.0.0.221 umzusteigen. Sie steht für Windows, macOS und Linux zur Verfügung. Google verteilt das Update zudem für seinen Browser Chrome. Nutzer von Internet Explorer 11 unter Windows 8.1 und 10 sowie von Microsofts neuem Browser Edge müssen derzeit beim Umgang mit Flash-Inhalten besonders vorsichtig sein, da die Absage des Microsoft-Patchdays bedeutet, dass sie die Fixes erst später erhalten.

Ein Fehler in Adobe Campaign 6.11 16.4 Build 8724 und früher für Windows und Linux erlaubt indes das Umgehen von Sicherheitsfunktionen. Das davon ausgehende Risiko stuft das Unternehmen als mittelschwer ein. Ein bereits authentifizierter Nutzer mit Zugang zur Client-Konsole könnte gefährliche Dateien hochladen und Lese- und Schreibzugriffe ausführen.

Adobes dritter Patch im Februar steht für Digital Editions zur Verfügung. Die Version 4.5.4 für Windows, macOS und Android stopft 9 Löcher. Darunter ist mindestens ein kritischer Heap-Pufferüberlauf, der eine Remotecodeausführung ermöglicht. Acht der neun Schwachstellen wurden von Steven Seeley von Source Incite gemeldet.

Die Absage des Microsoft-Patchdays bedeutet auch, dass sich die Auslieferung eines Updates für die Anfang Februar öffentlich gemachte Zero-Day-Lücke in Windows SMB verzögert. Sie ermöglicht Denial-of-Service-Angriffe. Das von ihr ausgehende Risiko bewertet Microsoft als gering. Laut US-Cert kann ein Hacker einen Absturz des Treibers mrxsmb20.sys auslösen, was wiederum einen Absturz des Betriebssystems und den Blue Screen of Death nach sich zieht.

Microsoft betonte in einer kurzen Stellungnahme, dass die Qualität der monatlichen Updates oberste Priorität habe. „Diesen Monat haben wir in letzter Minute ein Problem entdeckt, das einige Kunden betreffen könnte und das nicht rechtzeitig für die heute geplanten Updates behoben werden konnte. Nach Abwägung aller Optionen haben wir entschieden, die Updates zu verschieben.“

Das legt die Vermutung nahe, dass der Fehler nicht in einem einzelnen Patch steckt, denn in dem Fall hätte Microsoft nur das fragliche Update zurückgehalten. Quellen der Microsoft-Bloggerin Mary Jo Foley zufolge ist Microsofts Build-System der Grund für die Verzögerung. Das Unternehmen wollte sich auf Nachfrage jedoch nicht zu dieser Vermutung äußern. Wann Microsoft die Veröffentlichung der Februar-Patches nachholt, ist nicht bekannt.

[mit Material von Mary Jo Foley, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.