Sicherheitslücken in Flash, Shockwave und ColdFusion gestopft

Adobe Patch Day II

Zum großen Patch Day bei Adobe gehören nicht nur Updates für Reader und Acrobat. Auch Flash Player, Shockwave Player und ColdFusion sind aktualisiert worden, um insgesamt 68 Schwachstellen zu beseitigen. Die meisten dieser Lücken sind als kritisch eingestuft.

Adobe hat 13 Sicherheitslücken im Flash Player 10.2.152.26 geschlossen, die alle von Angreifern ausgenutzt werden könnten, um Code einzuschleusen. Ferner bringt der neue Flash Player Hardware-Unterstützung ("Stage Video") für das Abspielen von Videos mit, im Internet Explorer 9 auch für andere Flash-Inhalte. Die Anbieter von Flash-Videos müssen jedoch ihre Wiedergabemodule darauf abstimmen.

Der neue Flash Player 10.2 steht für Windows, Mac und Linux/Unix bereit. Wer allerdings noch einen Mac auf PowerPC-Basis verwendet, erhält künftig keine Updates für den Flash Player mehr. Adobe will nur noch Macs mit Intel-Prozessoren unterstützen. In die neuesten Versionen von Adobe Reader und Acrobat sowie Google Chrome ist der fehlerbereinigte Flash Player bereits integriert. Für Adobes Flash-Entwicklerwerkzeuge sind ebenfalls Updates erhältlich.

Mit dem Shockwave Player 11.5.9.620 für Windows und Mac liefert Adobe eine neue Version aus, in der 21 Schwachstellen behoben worden sind. Alle sind prinzipiell geeignet, um einem Angreifer das Einschleusen von schädlichem Code zu ermöglichen.

Weitere fünf Sicherheitslücken hat Adobe in ColdFusion 8.x und 9.x ausgemacht, seiner Datenbank-Middleware für Web-basierte Anwendungen. Für jede Version gibt es einen Hotfix, der diese Lücken schließt. Es handelt sich dabei um Datenlecks oder Anfälligkeiten für XSS- und CSRF-Angriffe (Cross-site Scripting, Cross-site Request Forgery).