Updates für kritische Sicherheitslücken in Adobe Produkten (inkl. Flash, Acrobat und Reader) - aktiv ausgenützt
15. Juni 2011
Weitere als "wichtig" eingestufte Updates sind für ColdFusion sowie LiveCycle Data Services, LiveCycle ES, und BlazeDS verfügbar. CVE Referenz-Nummern:
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Meldung von Adobe (englisch)
http://blogs.adobe.com/psirt/2011/06/adobe-product-security-updates-available.html
Meldung von Brian Krebs zu Adobe Reader Auto-Updates (englisch)
http://krebsonsecurity.com/2011/06/adobe-ships-security-patches-auto-update-feature/
Beschreibung
Adobe hat als "kritisch" eingestufte Security Updates für mehrere kritische Schwachstellen in Adobe Produkten (Adobe Flash Player, Reader, Acrobat, Shockwave Player) veröffentlicht.Weitere als "wichtig" eingestufte Updates sind für ColdFusion sowie LiveCycle Data Services, LiveCycle ES, und BlazeDS verfügbar. CVE Referenz-Nummern:
- Flash
- CVE-2011-2110
- Reader / Acrobat
- CVE-2011-2094
- CVE-2011-2095
- CVE-2011-2096
- CVE-2011-2097
- CVE-2011-2098
- CVE-2011-2099
- CVE-2011-2100
- CVE-2011-2101
- CVE-2011-2102
- CVE-2011-2103
- CVE-2011-2104
- CVE-2011-2105
- CVE-2011-2106
- Shockwave Player
- CVE-2011-0317
- CVE-2011-0318
- CVE-2011-0319
- CVE-2011-0320
- CVE-2011-0335
- CVE-2011-2108
- CVE-2011-2109
- CVE-2011-2111
- CVE-2011-2112
- CVE-2011-2113
- CVE-2011-2114
- CVE-2011-2115
- CVE-2011-2116
- CVE-2011-2117
- CVE-2011-2118
- CVE-2011-2119
- CVE-2011-2120
- CVE-2011-2121
- CVE-2011-2122
- CVE-2011-2123
- CVE-2011-2124
- CVE-2011-2125
- CVE-2011-2126
- CVE-2011-2127
Auswirkungen
Die als "kritisch" angegebenen Lücken bieten laut Adobe die Möglichkeit, die betroffenen Produkte zum Absturz zu bringen. Potentiell bieten diese Fehler auch die Möglichkeit zu Remote Code Execution, und daher einem Angreifer einen Weg, ein System zu übernehmen. Laut aktuellen Aussagen von Adobe wird zumindest eine der Lücken in Flash Player (CVE-2011-2110) bereits aktiv durch entsprechend präparierte Webseiten ausgenützt.Betroffene Systeme
Systeme, auf denen folgende Software von Adobe installiert ist:- Adobe Flash Player
- Adobe Flash Player 10.3.181.23 und älter für Windows, Macintosh, Linux und Solaris
- Adobe Flash Player 10.3.185.23 und älter für Android
- Adobe Reader / Reader X / Acrobat / Acrobat X
- Adobe Reader X 10.0.1 und ältere 10.x Versionen für Windows
- Adobe Reader X 10.0.3 und ältere 10.x Versionen für Macintosh
- Adobe Reader 9.4.4 und ältere 9.x Versionen für Windows und Macintosh
- Adobe Reader 8.2.6 und ältere 8.x Versionen für Windows und Macintosh
- Adobe Acrobat X 10.0.3 und ältere 10.x Versionen für Windows und Macintosh
- Adobe Acrobat 9.4.4 und ältere 9.x Versionen für Windows and Macintosh
- Adobe Acrobat 8.2.6 und ältere 8.x Versionen für Windows and Macintosh
- Shockwave Player
- Shockwave Player 11.5.9.620 und ältere Versionen für Windows und Macintosh
Abhilfe
Installation der bereitgestellten Updates, für Flash zum Beispiel über das Flash Player Download Center. Wie andere Quellen berichten, wird sich Adobe Reader ab der nun zur Verfügung gestellten Version übrigens automatisch auf die jeweils neueste Version aktualisieren.Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):
Meldung von Adobe (englisch)
http://blogs.adobe.com/psirt/2011/06/adobe-product-security-updates-available.html
Meldung von Brian Krebs zu Adobe Reader Auto-Updates (englisch)
http://krebsonsecurity.com/2011/06/adobe-ships-security-patches-auto-update-feature/