/Adobe stopft Sicherheitslücken in Flash, ColdFusion und RoboHelp

Adobe stopft Sicherheitslücken in Flash, ColdFusion und RoboHelp

Adobe stopft Sicherheitslücken in Flash, ColdFusion und RoboHelp


Fabian A. Scherschel

Auch bei Adobe ist wieder Patchday und der Tradition entsprechend patcht die Firma zu dieser Gelegenheit wieder einmal kritische Lücken im Flash Player. Auch ColdFusion und RoboHelp erhalten Updates.

Adobe mag Flash bereits für tot erklärt haben, patcht aber weiterhin fleißig Lücken in dem ungeliebten Multimedia-Framework. Diesen Monat nimmt sich die Firma zwei kritische Speicherverwaltungsfehler vor, die von Angreifern missbraucht werden können, um Schadcode aus dem Netz auf das System eines Opfers zu bringen und dort auszuführen. Betroffen sind wie üblich alle Versionen des Flash Players: Auf Windows, macOS und Linux, wobei die Lücke auf Linux-Rechnern weniger kritische Konsequenzen hat als auf den anderen Betriebssystemen. Anwender sollten sicherstellen, dass ihre Installation auf Version 27.0.0.130 aktualisiert wurde – dann sind sie laut Adobe gegen die Angriffe gefeit.

ColdFusion, Adobes alterndes Java-basiertes Framework für Web-Apps, weist ebenfalls kritische Lücken auf. Auch hier können Angreifer aus der Ferne Code einschießen, der dann ausgeführt wird, da die Software die Java-Daten nicht wie vorgesehen einliest. Administratoren, die das 2016er Release der Software einsetzen sollten Update 5 installieren, um die Lücken zu stopfen. ColdFusion 11 kann mit Update 13 abgedichtet werden. Eine der Lücken (CVE-2017-11285) wurde von einem Mitarbeiter der Sicherheitsabteilung der Deutschen Telekom entdeckt.

Eine Software, die von Adobe eher selten mit Sicherheitsupdates versorgt wird, ist die der Hilfetext-Editor RoboHelp. An diesem Patchday schließt Adobe allerdings zwei Sicherheitslücken in der Software, die von der Firma als “wichtig” klassifiziert werden und die für Cross-Site-Scripting- und Open-Redirect-Angriffe missbraucht werden können. Das Update RH2017.0.2 oder alternativ der Hotfix-Patch namens RH12.0.4.460 schließen diese Lücken. RoboHelp ist nur für Windows verfügbar.


(fab)