Adobe veröffentlicht etliche Sicherheitsflicken

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33677
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Adobe veröffentlicht etliche Sicherheitsflicken

Beitrag von doelf » 11 Apr 2018, 13:39

Adobe hat frische Sicherheits-Updates für seine Produkte Flash Player, ColdFusion, Digital Editions, Experience Manager, InDesign und PhoneGap Push Plugin veröffentlicht, mit denen die Software-Firma 19 Sicherheitslücken schließt. Sechs Fehler sind kritischer Natur, von einem Dutzend geht ein hohes Risiko aus und die letzte Schwachstelle wurde als mittelschwer klassifiziert.

Flash Player
Für die Betriebssysteme Windows, macOS und Linux sowie für die Browser Edge, Internet Explorer und Chrome hat Adobe den Flash Player auf die Version 29.0.0.140, welche sechs Schwachstellen abdichtet, aktualisiert. Drei der Lücken (CVE-2018-4932, CVE-2018-4935 und CVE-2018-4937) ermöglichen das Einschleusen von Schadcode und wurden daher als kritisch klassifiziert. Die übrigen drei (CVE-2018-4933, CVE-2018-4934 und CVE-2018-4936) ermöglichen das Abgreifen von Informationen, sie stellen ein hohes Risiko dar. Adobe empfiehlt eine Aktualisierung binnen 30 Tagen, lediglich unter Linux darf man sich abseits von Chrome mehr Zeit lassen. Hier geht es zum Download des Flash Player 29.0.0.140.

ColdFusion
In ColdFusion ermöglicht eine Deserialisierung von nicht vertrauenswürdigen Daten das Ausführen von Schadcode (CVE-2018-4939, kritisch) und die unsichere Verarbeitung externer XML-Daten kann zum Datendiebstahl (CVE-2018-4942, kritisch) missbraucht werden. Zwei weitere Datenlecks durch Cross-Site-Scripting (CVE-2018-4940 und CVE-2018-4941) wurden als hochgefährlich eingestuft, gleiches gilt für eine Rechteausweitung aufgrund des unsicheren Ladens von Bibliotheken (CVE-2018-4938). Das Update auf ColdFusion (2016 release) Update 6 oder ColdFusion 11 Update 14 sollte laut Adobe binnen 30 Tagen erfolgen.

Digital Editions
Mit Adobe Digital Editions 4.5.8 wurden zwei hochgefährliche Probleme - zwei Informationslecks durch einen unkontrollierten Lesezugriff (CVE-2018-4925) und einen Stapelüberlauf (CVE-2018-4926) - behoben. Beim Update ist laut Adobe keine Eile geboten, dennoch hier die Download-Links für Windows und macOS, Android und iOS.

Experience Manager
Im Experience Manager der Versionen 6.0 bis 6.3 wurden drei sicherheitsrelevante Fehler korrigiert. Es handelt sich in allen Fällen um Varianten des Cross-Site-Scripting, wobei CVE-2018-4930 und CVE-2018-4931 als hohe und CVE-2018-4929 als mittlere Gefahr bewertet wurden. Adobe hat diverse Fixes zum Download bereitgestellt, doch mit dem Einspielen kann man sich Zeit lassen.

InDesign
Eine kritische Speichermanipulation (CVE-2018-4928) erlaubt bei InDesign das Einschleusen und Ausführen von Schadcode. Darüber hinaus wird ein unsicherer Suchpfad verwendet, was zu einer lokalen Rechteausweitung (CVE-2018-4927) führen kann. Wer im Hilfe-Menü von InDesign auf den Punkt "Updates" klickt, bekommt das abgesicherte InDesign CC 13.1. Hierfür ist laut Adobe allerdings keine Eile geboten - weitere Informationen gibt es beim Hersteller.

PhoneGap Push Plugin
Das PhoneGap Push Plugin führt JavaScript-Code irrtümlich im Kontext der PhoneGap-App aus (CVE-2018-4943). Angreifer können dies missbrauchen, um Nutzern unerwünschte Interaktionen mit der App unterzuschieben. Betroffen sind alle Versionen einschließlich 1.8.0. Auf Github liegt das überarbeitete Adobe PhoneGap Push Plugin 2.1.0.
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten