Oktober-Patchday: Kritische Lücken bei Adobe & Microsoft

Die aktuellen Patches bei Microsoft

Mit diesem Monat startet Microsoft seine neue Art der Update-Verteilung. Statt einzelner Updates, die je nach Bedarf auch getrennt installiert werden können, werden kumulative Rollup-Pakete verteilt. Damit soll der Patchlevel-Fragmentierung bei Windows 7 und 8.1 ein Ende gemacht werden. Ausnahmen bilden die Updates für.NET-Komponenten, den Flash Player und Skype, die auch weiterhin einzeln verfügbar sein werden.

Von den insgesamt zehn Patches für Sicherheitslücken in Windows, den Browsern Edge und Internet Explorer, Office sowie Skype Business wurden fünf als kritisch eingestuft, vier als wichtig und eine als mittelschwer.

Die vier kritischen Lücken finden sich in den Browsern Edge und dem Internet Explorer, Skype Business und Windows. Der Besuch einer präparierten Webseite soll ausreichen, um Angreifern Tür und Tor für die Ausführung von Schadcode zu öffnen. Die fünfte kritische Lücke klafft im Flash Player, wie auch im nachstehenden Abschnitt zu den Adobe Patches zu lesen ist.

Die als wichtig eingestuften Schwachstellen finden sich in Windows (u.a. der Windows Registry und dem Diagnostics Hub) sowie Office. Ein Ausnutzen dieser Schwachstellen ist dann möglich, wenn der User dazu gebracht wird, eine speziell präparierte Anwendung zu öffnen.

Da die Sicherheitslücken laut Sicherheitsforschern von Trend Micro bereits aktiv ausgenutzt werden, empfehlen wir, die entsprechenden Anwendungen zu schnell als möglich upzudaten.

Die aktuellen Patches bei Adobe

Insgesamt bringt Adobe im Oktober Patches für 83 Sicherheitslücken in Acrobat, dem Reader und Flash heraus. Besonders dringend ist dabei das Update für den Flash Player. Hier werden 12 kritische Sicherheitslücken gestopft. Alle Flash-Versionen unter den Betriebssystemen ChromeOS, Linux, OS X und Windows die jünger als Version 11.2.202.637, 18.0.0.382 und 23.0.0.185 sind, sind von den kritischen Lücken bedroht. Neben dem Einspielen von Schadcode ermöglichen die Sicherheitslücken Angreifern im schlimmsten Fall sogar die Übernahme der Kontrolle der betroffenen Rechner.

Während sich die Webbrowser Chrome, Edge und Internet Explorer 11 für Windows 8.1 und 10 automatisch aktualisieren, kann die gesicherte Version des Players auch manuell downgeloadet werden. Die entsprechenden Links zur Überprüfung Ihrer Flash-Version und der aktuellen Downloads finden Sie am Ende dieses Beitrags.

Für die PDF-Anwendungen Acrobat und Reader für OS X und Windows und stellt Adobe im Oktober 71 Sicherheits-Patches bereit. Einige der in diesen Programmen gepatchten Sicherheitslücken wurden ebenfalls als kritisch eingestuft. Die Versionen für OS X und Windows Acrobat DC/Acrobat Reader DC (Continous) 15.020.20039, Acrobat DC/Acrobat Reader DC (Classic) 15.006.30243 und Acrobat XI/Reader XI 11.0.18 sind sicher, alle früheren Versionen können die Ausführung von Schadcode ermöglichen. Wir raten daher zu einem raschen Update.

Sollten Sie die Creative Cloud Desktop Applikation nutzen, empfehlen wir ebenfalls, sobald als möglich auf die abgesicherte Version 3.8.0.310 upzudaten. Alle vorherigen Versionen ermöglichen es Angreifern sich höhere Rechte verschaffen.