Schlagwort-Archive: Adobes

Patches außer der Reihe: Adobe dichtet ColdFusion ab

Adobe stopft vier Sicherheitslücken in ColdFusion, LiveCycle Data Services und Premiere Clip. Exploits sollen noch nicht im Umlauf sein.

Adobes ColdFusion 10 bis zum Update 17 und ColdFuison 11 bis zum Update 6 sind für alle verfügbaren Plattformen verwundbar. Angreifer können zwei Lücken (CVE-2015-8052 und CVE-2015-8053) für XSS-Attacken missbrauchen. Das Update 7 und 18 stehen zum Download bereit.

Quelle und vollstaendiger Artikel : Heise.de / Zum Artikel

 
 

 
 

Share

Exploit trotz Adobes Sandbox

Adobe Reader X läuft in einer Sandbox mit sehr eingeschränkten Rechten. Alle wichtigen Systemzugriffe müssen eigentlich über einen speziellen Broker-Prozess abgewickelt werden, der sie ausgiebig testet. Doch durch einen kleinen Design-Fehler gelingt es, trotz dieser Sandbox eigenen Code auszuführen, der Systemfunktionen nutzt und ASLR und DEP austrickst.

Quelle: Heise.de /zum Artikel

 

 

Share

Flash-Lücke ermöglichte Spionage via Webcam

Eine Schwachstelle in Adobes allgegenwärtigem Flash-Player erlaubte jüngst Website-Betreibern nach Angaben eines Sicherheitsexperten, die Webcam und das Mikrofon der Computer von Internet-Nutzern ohne deren Wissen anzuzapfen.

Damit dies funktionierte, musste der Anwender lediglich eine speziell präparierte Website besuchen und bestimmte Schaltflächen anklicken. Ohne eine weitere Warnung wurden dadurch die Webcam und das Mikrofon aktiviert, so dass ein Angreifer die entsprechenden Streams mitschneiden konnte.

Im Jahr 2008 war bereits eine ähnliche Clickjacking-Lücke im Flash-Player aufgetreten. Adobe hat nach eigenen Angaben bereits einen entsprechenden Fix für die Schwachstelle entwickelt und seine Systeme bereits aktualisiert. Die Lücke geht auf Fehler im Einstellungs-Manager des Flash-Players zurück.

Quelle : winfuture.de

Share

Adobes Schutz vor eingebetteten Skripten lückenhaft

Der mit dem Update 9.3.3 im Reader und Acrobat eingeführte Schutz vor Angriffen über die /launch-Aktion ist lückenhaft, wie der Sicherheitsdienstleister BKIS in seinem Blog festgestellt hat. Setzt man in PDF-Dokumente eingebettete Befehle in doppelte Anführungszeichen, so lässt sich der Schutz austricksen und das Programm startet – jedoch erst nach Bestätigung eines Warndialoges.

Weil nach Angaben von Adobe viele Kunden die Funktion für ihre Unternehmenslösungen benötigen, hatte der Hersteller eine Blacklist verbotener Anwendungen (darunter .exe, bat und viele andere) integriert, statt die Option “Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden” komplett zu deaktivieren.

quelle und vollstaendiger Bericht :  heise.de

Share