Ab sofort gibt es für die Anwen­dun­gen Ado­be Rea­der und Acro­bat neue Sicher­heits-Updates. Am ein­fachs­ten geht die Instal­la­ti­on wie folgt:

o Menü “Hil­fe”
o Menü­punkt “Nach Updates suchen…”

Gene­rall emp­feh­len wir, den auto­ma­ti­schen Update-Mecha­nis­mus zu akti­vie­ren:

o Menü “Bear­bei­ten”
o Menü­punkt “Vor­ein­stel­lun­gen…”
o Kate­go­rie “Upda­ter”
o Vor­zugs­wei­se die Opti­on “Updates auto­ma­tisch instal­lie­ren” wäh­len

Wie wir bereits hier im Blog berich­tet haben, gibt es auch für die Anwen­dun­gen Ado­be Flash Play­er und Air neue Updates. Wir emp­feh­len auch hier eine schnel­le Instal­la­ti­on (sie­he Ein­trag vom 9. Juni).

Wie am 8. Juni bereits ange­kün­digt, hat Ado­be neue Sicher­heits-Updates ver­öf­fent­licht:

Ado­be Flash Play­er 10.1.53.64
http://get.adobe.com/de/flashplayer/

Ado­be Air 2.0.2.12610
http://get.adobe.com/de/air/

Sicher­heits-Updates für den Ado­be Rea­der und Acro­bat fol­gen vor­aus­sicht­lich am 29. Juni 2010.

Im Ado­be Flash Play­er, Ado­be Rea­der und Ado­be Acro­bat exis­tiert eine kri­ti­sche Sicher­heits­lü­cke. Wir emp­feh­len die  Deak­ti­vie­rung von Ado­be Flash Brow­ser-Plug­ins und die Deak­ti­vie­rung von Flash-Inhal­ten in den Ado­be PDF-Anwen­dun­gen, bis ein Patch bereit­ge­stellt ist.

Vor­ge­hens­wei­se zur Deak­ti­vie­rung von Ado­be Flash in Mozil­la Fire­fox:

1) Menü “Extras” > “Add-ons”
2) Rei­ter “Plug­ins” wäh­len
3) Plug­in “Shock­wa­ve Flash” suchen
4) But­ton “Deak­ti­vie­ren” wäh­len

Vor­ge­hens­wei­se zur Deak­ti­vie­rung von Ado­be Flash im Micro­soft Inter­net Explo­rer:

1) Menü “Extras” > “Inter­net­op­tio­nen”
2) Rei­ter “Sicher­heit” aus­wäh­len
3) Zone “Inter­net” mar­kie­ren
4) Sicher­heits­stu­fe der Zone “Inter­net” auf “Hoch” set­zen

Ado­be plant, Sicher­heits­up­dates für den Flash Play­er am 10. Juni 2010 und für den Ado­be Rea­der und Ado­be Acro­bat am 29. Juni 2010 bereit­zu­stel­len. Sobald dies geschieht, wer­den wir hier im Blog dar­über berich­ten.

Ado­be hat einen neu­es Sicher­heits-Update für sei­nen Shock­wa­ve Play­er ver­öf­fent­licht. Das Update schließt gan­ze 18 Lücken, von denen 17 sogar als beson­ders kri­tisch gel­ten.

Der Shock­wa­ve Play­er bie­tet mehr Funk­tio­nen als der etwas bekann­te­re Flash-Play­er. Er wird vor allem zur Dar­stel­lung kom­ple­xe­rer, inter­ak­ti­ver Prä­sen­ta­tio­nen und Spie­le ver­wen­det und steht wie der Flash-Play­er als Brow­ser-Plug-in zur Ver­fü­gung.

Ob der Shock­wa­ve-Play­er akti­viert ist, kann man online tes­ten:

http://www.adobe.com/shockwave/welcome/

Das Ado­pe Update 11.5.7.609 gibt es hier:

http://www.adobe.com/support/security/bulletins/apsb10-12.html

Und den Ado­be Shock­wa­ve Play­er hier:

http://get.adobe.com/de/shockwave/otherversions/

Ado­be hat die Sicher­heits-Updates 9.3.2 und 8.2.2 für Ado­be Rea­der (Win­dows, Mac, Unix) und Acro­bat (Win­dows und Mac) ver­öf­fent­licht, mit denen der Herr­stel­ler 15 Sicher­heits­lü­cken besei­tigt, die das Ein­schleu­sen und Aus­füh­ren von Codes ermög­li­chen.

Um Opfer eines Angriffs zu wer­den, muss man aber nicht zwangs­läu­fig ein PDF-Doku­ment manu­ell öff­nen. In der Regel genügt es schon, mit einem ver­wund­ba­ren Rea­der-Plug-in im Brow­ser eine mani­pu­lier­te Web­site zu besu­chen.

Dar­über hin­aus hat Ora­cle im Rah­men sei­nes Cri­ti­cal Patch Update ins­ge­samt 47 Lücken geschlos­sen. Eini­ge der Lücken stuft Ora­cle als kri­tisch ein. Daher sol­len Admi­nis­tra­to­ren nicht zögern, die Updates schnells­tens zu instal­lie­ren.

Wei­te­re Infor­ma­tio­nen gibt es hier:

http://www.adobe.com/support/security/bulletins/apsb10-09.html

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html#AppendixSUN

Der PDF-Sicher­heits­spe­zia­list Didier Ste­vens hat ein PDF-Doku­ment ent­wi­ckelt, das – ohne eine kon­kre­te Schwach­stel­le aus­zu­nut­zen – einen PC infi­zie­ren könn­te. Ste­vens macht sich dabei nach eige­nen Anga­ben die Opti­on “Launch Actions/Launch File” zunut­ze, die sogar im PDF ein­ge­bet­te­te Skrip­te oder EXE-Datei­en star­ten kann – die­se Opti­on ist Bestand­teil der PDF-Spe­zi­fi­ka­ti­on.

Im Ado­be Rea­der hilft es, unter Einstellungen/Berechtigungen die Opti­on “Nicht-PDF-Datei­an­la­gen dür­fen in exter­nen Anwen­dun­gen geöff­net wer­den.” zu deak­ti­vie­ren – stan­dard­mä­ßig ist sie akti­viert. Danach star­tet der Demo-Exploit beim Öff­nen im Ado­be Rea­der kei­ne Ein­ga­be­auf­for­de­rung mehr.

Wir emp­feh­len die zeit­na­he Instal­la­ti­on der Ver­si­on 9.3.1 für Ado­be Rea­der und Acro­bat.

Über den Menü­punkt “Hil­fe” und die Opti­on “Nach Updates suchen…” kann man die Updates mit eini­gen Hand­grif­fen instal­lie­ren. Alter­na­tiv gibt es die Updates hier:

http://get.adobe.com/reader

Aus Sicher­heits­grün­den emp­feh­len wir aktu­el­le Sicher­heits-Updates für Ado­be Flash Play­er und Ado­be AIR.  Betrof­fen sind der Ado­be Flash Play­er vor der Ver­si­on 10.0.45.2 und Ado­be AIR vor der Ver­si­on 1.5.3.1930.

http://get.adobe.com/flashplayer/

http://get.adobe.com/air/

Ado­be bie­tet auch eine Prü­fung der aktu­ell instal­lier­ten Flash Play­er Ver­si­on an.

http://www.adobe.com/de/software/flash/about/