Sicherheitsflicken: Großer Frühjahrsputz bei Adobe

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35011
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Sicherheitsflicken: Großer Frühjahrsputz bei Adobe

Beitrag von doelf » 10 Apr 2019, 16:26

Über den Winter hatten sich bei den Software-Produkten von Adobe diverse Sicherheitslücken angesammelt, welche die Entwickler nun mit frischen Updates rauszukehren versuchen. Gesäubert wurden bisher die Programme Acrobat und Reader, Flash und Shockwave Player, Dreamweaver, InDesign, Experience Manager Forms, Bridge CC und XD CC.

Der Flash Player hat zwei Flicken erhalten: Der erste kümmert sich um einen kritischen Zugriff auf bereits gelöschte Objekte (CVE-2019-7096) und der zweite um einen unkontrollierten Lesezugriff (CVE-2019-7108), von dem eine hohe Gefahr für Datenabgriffe ausgeht. Laut der verhängten Prioritätsstufe 2 sollte das Update auf die neue Version 32.0.0.171, welche Adobe für Windows, macOS, Linux und Chrome OS anbietet, binnen 30 Tagen eingespielt werden. Abseits von Chrome dürfen sich Linux-Nutzer mehr Zeit nehmen. Weitere Details und Downloads gibt es bei Adobe.

Im Shockwave Player wurden sieben kritische Speichermanipulationen (CVE-2019-7098, CVE-2019-7099, CVE-2019-7100, CVE-2019-7101, CVE-2019-7102, CVE-2019-7103, CVE-2019-7104), welche sich allesamt zum Einschleusen von Schadcode eignen, repariert. Auch hier gilt die Prioritätsstufe 2, welche ein Update binnen Monatsfrist nahelegt. Die fehlerbereinigte Version für Windows trägt die Nummer 12.3.5.205. Weitere Details und Downloads gibt es bei Adobe.

Das Duo Acrobat und Reader ist mit 21 Schwachstellen dabei. Adobe musste hier elf Möglichkeiten zum Einschleusen von Schadcode ausmerzen, darunter fünf unkontrollierte Schreibzugriffe (CVE-2019-7111, CVE-2019-7118, CVE-2019-7119, CVE-2019-7120, CVE-2019-7124), zwei Typen-Verwechslungen (CVE-2019-7117, CVE-2019-7128), zwei Zugriffe auf bereits gelöschte Objekte (CVE-2019-7088, CVE-2019-7112) und zwei Stapelüberläufe (CVE-2019-7113, CVE-2019-7125). All diese Probleme sind kritischer Natur. Dazu kommen zehn unkontrollierte Lesezugriffe (CVE-2019-7061, CVE-2019-7109, CVE-2019-7110, CVE-2019-7114, CVE-2019-7115, CVE-2019-7116, CVE-2019-7121, CVE-2019-7122, CVE-2019-7123, CVE-2019-7127), über die Angreifer Daten entwenden können. Diese Fehler stellen eine hohe Gefahr dar. Für Windows und macOS liegen die Versionen 2019.010.20099, 2017.011.30138 und 2015.006.30493 zum Update bereit, auf die man seine Software binnen 30 Tagen aktualisieren sollte. Weitere Details und Downloads gibt es bei Adobe.

Bridge CC ist mit acht Korrekturen dabei. Zwei - ein Stapelüberlauf (CVE-2019-7130) und ein unkontrollierter Schreibzugriff (CVE-2019-7132) sind kritischer Natur, da sie als Einfallstor für Schadcode dienen können. Die übrigen sechs Schwachstellen, darunter vier unkontrollierte Lesezugriffe (CVE-2019-7133, CVE-2019-7134, CVE-2019-7135, CVE-2019-7138), ein Zugriff auf bereits gelöschte Ressourcen (CVE-2019-7136) und ein Speicherfehler (CVE-2019-7137) lassen sich als Datenleck missbrauchen. Gemäß der Prioritätsstufe 2 sollte man Bridge CC binnen eines Monats auf die Version 9.0.2 aktualisieren, die für Windows und macOS angeboten wird. Weitere Details und Downloads gibt es bei Adobe.

Das Problem im Experience Manager Forms der Versionen 6.4, 6.3 und 6.2 wurde zwar nur als wichtig eingestuft, doch der Angriff des Typs "Stored Cross-site Scripting" (CVE-2019-7129) wurde dennoch der Prioritätsstufe 2 zugeordnet. Solche Schwachstellen entstehen, wenn Benutzereingaben vom Server gespeichert und ohne ausreichende Prüfung in die Antwort eingebettet werden. Fixes liegen für die drei betroffenen Versionen zum Download bereit. Weitere Details und Downloads gibt es bei Adobe.

Bei Adobe XD haben zwei kritische Sicherheitslücken des Typs "Path Traversal" (CVE-2019-7105, CVE-2019-7106) lediglich für die Prioritätsstufe 3 gereicht, man kann sich mit dem Update offenbar Zeit lassen. Ob dies sinnvoll ist, wagen wir zu bezweifeln, denn bei diesen Fehlern können sich Angreifer Zugriff auf geschützte Bereiche durch eine einfache Abänderung der ULR verschaffen. Das Problem wurde in XD 17.0.12 für macOS bereinigt. Weitere Details und Downloads gibt es bei Adobe.

InDesign schlampt bei der Verarbeitung von URLs, wodurch Angreifer Schadcode einschleusen und ausführen können (CVE-2019-7107). Obwohl Adobe auch hier von einem kritischen Fehler spricht, gilt wieder nur die lockere Prioritätsstufe 3. Die Sicherheitslücke wurde bei InDesign 14.0.2 für Windows und macOS gestopft. Weitere Details und Downloads gibt es bei Adobe.

Bleibt noch der Dreamweaver, bei dem Adobe die unsichere Implementierung des SMB-Protokolls gehärtet hat. Bisher bestand nämlich die Möglichkeit, dass Angreifer sensible Informationen über eine speziell gestalteten SMB-Anfrage abgreifen (CVE-2019-7097). Adobe spricht von einem moderatem Problem, um dass man sich gelegentlich mit dem Update auf die Version 19.1 für Windows und macOS kümmern sollte. Weitere Details und Downloads gibt es bei Adobe.
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1045
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Sicherheitsflicken: Großer Frühjahrsputz bei Adobe

Beitrag von Mausolos » 13 Apr 2019, 09:29

doelf hat geschrieben:
10 Apr 2019, 16:26
Im Shockwave Player wurden sieben kritische Speichermanipulationen (CVE-2019-7098, CVE-2019-7099, CVE-2019-7100, CVE-2019-7101, CVE-2019-7102, CVE-2019-7103, CVE-2019-7104), welche sich allesamt zum Einschleusen von Schadcode eignen, repariert. Auch hier gilt die Prioritätsstufe 2, welche ein Update binnen Monatsfrist nahelegt. Die fehlerbereinigte Version für Windows trägt die Nummer 12.3.5.205. Weitere Details und Downloads gibt es bei Adobe.
Offiziell herunterladen lässt sich der SWF-Player gar nicht mehr, seit der am 9. April 2019 verrentet wurde.
Shockwave Player Download Center

Höchstens hier bekommt man ihn noch: Shockwave Player
Im [exe]-Archiv haben die Dateien das Datum 15. März 2019 und die Versionskennung 1235205.
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35011
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Sicherheitsflicken: Großer Frühjahrsputz bei Adobe

Beitrag von doelf » 15 Apr 2019, 09:39

Adobe ist schon lustig: Macht Links zum Download auf denen am Tag der Veröffentlichung bereits steht, dass man keine Downloads für dieses eingestellte Produkt mehr anbiete. Wie dumm ist das denn?!?
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten