Adobe hat am 26. Oktober außer der Reihe ein
Security Bulletin
zu einer kritischen 0-Day-Schwachstelle im Flash Player
veröffentlicht.
Updates stehen für Windows, Mac OS X, Linux und Chrome OS bereit.
Am
Oktober-Patchday
hat Microsoft mal wieder zugelangt: Es wurden drei bereits für das
Einschleusen von Code aus der Ferne (Remote Code Execution, RCE)
ausgenutzte Schwachstellen behoben, außerdem ein ebenfalls bereits
für Angriffe ausgenutztes Informationsleck (und das in gleich zwei
Komponenten, dem IE und dem Internet Messaging API). Womit wir auf 5
Security Bulletins mit 0-Days darin kommen.
Am
September-Patchday
hat Microsoft eine bereits ausgenutzte und eine bereits öffentlich
bekannte Schwachstelle behoben. Besondere Gefahr geht von beiden nicht
aus, und da auch Adobe keine 0-Days gemeldet hat ist es diesmal ein sehr
ruhiger Patchday!
Wow, ich hatte gar nicht gedacht, dass es so was noch gibt: Ein Patchday
ganz ohne 0-Day-Exploits oder zumindest -Schwachstellen. Aber weder
Microsoft
noch
Adobe
haben am heutigen August-Patchday 0-Days gemeldet.
Adobe hat noch nicht mal ein Update für den Flash Player
veröffentlicht, und hat das für diesen Monat auch nicht vor.
Obwohl - eigentlich ist das verdächtig, so löchrig wie der bisher
war. Aber vielleicht wollen die ja nur im September einen uneinholbaren
Rekord behobener Schwachstellen aufstellen und heben sich die
Schwachstellen aus diesem Monat dafür auf.
Am Juli-Patchday hat
Microsoft
lediglich zwei 0-Day-Schwachstellen behoben, die aber beide bisher nicht
für Angriffe ausgenutzt werden. Und Adobe hat zwar 52 Schwachstellen
im
Flash Player
behoben, von denen die meisten das Ausführen eingeschleusten Codes
erlauben, ausnahmsweise wird diesmal aber keine davon bereits für
Angriffe ausgenutzt. Eben so wenig wie eine der 30 Schwachstellen, die in
Adobe Acrobat und Reader
behoben wurden. Und von denen ebenfalls die meisten das Ausführen
eingeschleusten Codes erlauben.
Adobe
warnt
mal wieder vor einem 0-Day-Exploit für den Flash Player, ein Update ist in
Vorbereitung. Bei Microsoft sieht es dafür am
Juni-Patchday
besser aus: Es wurde zwar wieder eine Reihe von 0-Day-Schwachstellen
behoben, aber für keine davon ist bereits ein Exploit in Umlauf.
Update 16.6.:
Adobe hat das Update veröffentlicht,
siehe unten!
Ende des Updates
Adobe warnt vor einem 0-Day-Exploit für den Flash Player, ein Patch wurde
für den 12. Mai angekündigt. Und Microsoft hat am Mai-Patchday unter
anderem drei 0-Day-Schwachstellen behoben, von denen eine ebenfalls
bereits für Angriffe ausgenutzt wird.
Auch am April-Patchday 2016 hatte Microsoft mal wieder mit
0-Day-Schwachstellen und -Exploits zu kämpfen. Zum Glück sind
die gefährlicheren davon aber "nur" 0-Day-Schwachstellen, für die
es bisher keine Exploits gibt. Die gibt es diesmal nur für zwei
Privilegieneskalations-Schwachstellen im Windows-Kernel. Mit anderen
Worten: In meiner
Übersicht
über die kritischen 0-Day-Schwachstellen und -Exploits des Jahres 2016
ändert sich diesmal nichts.
Es gibt aber auch schlechte Nachrichten: Microsoft hat am Patchday auch
die Updates für die aktuelle, bereits für Angriffe ausgenutzte
0-Day-Schwachstelle
im Flash Player für die Browser, die ihn integriert haben, ausgeliefert.
Die es von Adobe für die normale Version des Flash Players bereits seit
letzter Woche gibt.
0-Day-Exploits für Privilegien-Eskalation im Windows-Kernel
Es ist mal wieder ein 0-Day-Exploit für den Flash Player aufgetaucht.
Adobe hat einen Patch für den 7. April
angekündigt.
Die Schwachstelle mit der CVE-ID
CVE-2016-1019
erlaubt die Ausführung eingeschleusten Codes (was auch sonst, darunter
machen es die Cyberkriminellen doch gar nicht, wozu auch?), und wenn
Adobe außer der Reihe patcht wird die
Schwachstelle
natürlich auch bereits ausgenutzt. Anfangs nur auf Systemen mit Windows 7
und XP, inzwischen hat Adobe diese Angabe auf "Windows 10 and
earlier" korrigiert.
Es gibt mal wieder einen 0-Day-Exploit, den
ersten
in diesem Jahr. Mal wieder für den Flash Player
(fast möchte ich schreiben
"Für was auch sonst?".
Oh, ups ), und es gibt auch schon ein außerplanmäßiges
(wenn auch
vorgestern)
bereits angekündigtes
Update
zur Beseitigung der Schwachstelle.