Gestern war ja wieder Großkampftag – oder Patchday, wie man neudeutsch so sagt. Adobe, Mirosoft, Oracle haben Sicherheitsupdates rausgeschoben, um Lücken in ihren Produkten zu schließen oder Fehler zu beseitigen. Und recht unbemerkt hat Google den Chrome 32, den dem auch Sicherheitslücken gefixt wurden, rausgeschoben. Eine grobe Vorschau hatte ich hier ja schon gegeben – hier noch eine kurze Nachlese.
Adobe: Kritische Patches für Reader & Acrobat X und XI
Adobe beschreibt in diesem Dokument Sicherheitsupdates für den Adobe Reader und für Acrobat (Acrobat X und XI-Varianten). Hier die betroffenen Produkte:
- Adobe Reader XI (11.0.05) und früher 11.x Versionen für Windows und Macintosh
- Adobe Reader X (10.1.8) und frühere 10.x Versionen für Windows und Macintosh
- Adobe Acrobat XI (11.0.05) und frühere 11.x Versionen für Windows und Macintosh
- Adobe Acrobat X (10.1.8) und frühere 10.x Versionen für Windows und Macintosh
Adobe empfiehlt, den Update-Mechanismus der betreffenden Produkte zu verwenden, um diese auf die aktuelle Version zu aktualisieren. Welche Versionen aktuell sind, lässt sich z.B. in diesem heise.de-Artikel nachlesen. Laut diesem Artikel fixen die Updates auch vom Googles Sicherheitsteam entdeckte Speicherfehler und eine Use-after-free-Lücke. Scheint kritisch zu sein, denn Adobe vergibt für die Updates die höchstmögliche Prioritätsstufe 1 (wird höchstwahrscheinlich für Angriffe missbraucht). Wer also mit dem Adobe Reader oder Adobe Acrobat unterwegs ist, sollte schleunigst updaten.
Und Benutzer des Adobe Flash Player sowie von Adobe AIR können sich die neuen Versionen dieser Produkte installieren. Laut diesem heise.de Beitrag gibt es den Adobe Flash Player 12 und AIR 4 (hier sind die Release Notes einsehbar). Die neuen Versionen beseitigen eine Reihe Bugs und führen einige Verbesserungen ein.
Moderate Updates bei Microsoft
Bei Microsoft geht es diesem Security Bulleting Summary für Januar 2014 etwas entspannter zu. Die Updates werden zwar als wichtig (aber nicht als kritisch) eingestuft und beziehen sich auf Office, Windows und Dynamics AX. Ein Update schließt eine Sicherheitslücke in Windows XP und Windows Server 2003, die für eine Rechteauswertung genutzt werden kann. Ein weiterer Patch adressiert das Problem unter Windows 7 und Windows Server 2008 R2. Weitere Updates schließen Lücken in Office, über die sich Schadcode einschleusen lässt. Ein Patch für Dynamics AX beseitigt eine Lücke im Denial-of-Service-Teil.
Firmware-Update für Surface Pro
Für genervte Besitzer eines Microsoft Surface Pro stellt Microsoft wohl auch noch ein Firmware-Update bereit (siehe MS-Answers-Foreneintrag), die Probleme mit dem Surface Type 2 Cover beheben sollen. Da gibt es wohl Probleme, wenn Type 2 Cover mit den alten Microsoft Surface Pro kombiniert werden. Mary Foley weist hier bei ZDNet.com auf dieses Update hin.
Oracle Patch-Orgie gefällig?
So richtig ins Kontor schlagen die Sicherheits-Updates von Oracle. Laut dieser Webseite hat auch Oracle Updates für diverse Produkte, von JAVA bis zu Oracle Datenbanken herausgegeben. Bei heise.de ist die Rede von 144 Patches und Updates. Hier bei mir betrifft es nur JAVA, welches nun in der Version 7 Update 51 vorliegt. Mein Tipp: Falls kein JAVA-Auto-Updater zuschlägt und ihr vermeiden wollt, dass per Download ungewollte Beifänge wie ASK-Toolsbar auf das System kommen, führt den Download der Java-Update-Pakete von dieser Oracle-Webseite aus. Anschließend könnt ihr die Installerdateien ausführen. In der folgenden Linkliste finden sich einige ältere Artikel, die die Probleme und Sauereien bei JAVA-Updates beleuchten.
Google schiebt den Chrome Browser Version 32 raus
Es fällt zwar etwas aus dem Patchreigen heraus, weil normalerweise ja Sicherheitsupdates bestehende Produkte patchen. Aber Google hat gestern die Version 32 des Google Chrome-Browsers herausgegeben. Über die neuen Features berichte ich in einem separaten Beitrag – aber auf der Chrome Releases Seite lässt sich nachlesen, dass dieses Browser-Update insgesamt 11 Sicherheitsfixes enthält. Davon sind einige als „High“ eingestuft.
Und was ist mit Windows XP?
Noch ist ja Windows XP im Support – aber ab 8. April 2014 stellt Microsoft diesen endgültig ein. Es gibt widersprüchliche Hinweise, ob zahlende Großkunden eventuell noch Sicherheitspatches erhalten (ich habe gelesen, dass dies der Fall sei). Aber als Otto-Normalo ist man da außen vor. Da noch knapp 30 Prozent der Desktop-Benutzer weiterhin mit Windows XP unterwegs sind, hat Microsoft noch ein paar Sachen klar gestellt (siehe diesen ZDNet-Beitrag).
Am 8. April 2014 läuft der Support für Windows XP SP3 und Office 2003 definitiv ab. Besitzer können zwar weiterhin mit Windows XP werkeln – aber auch für den Microsoft Security Essentials-Virenscanner wird es keine Unterstützung mehr für Windows XP geben. Besitzer einer XP-Installation müssen dann auf Virenscanner von Drittherstellern ausweichen, die weiterhin Support geben.
Update: Die Info, dass die Unterstützung für Microsoft Security Essentials unter Windows XP ebenfalls im April 2014 endet, stimmt nicht mehr. Microsoft hat jetzt überraschend im Technet-Blog bekannt gegeben, dass Signaturdateien und die Scan-Engines für Windows XP-Benutzer bis zum 14. Juli 2015 aktualisiert werden. Bei Privatanwendern betrifft die die Microsoft Security Essentials. Für Unternehmenskunden werden System Center Endpoint Protection, Forefront Client Security, Forefront Endpoint Protection und Windows Intune für Windows XP bis zum genannten Datum weiter unterstützt.
Und bezüglich Browser: Google wird Chrome für Windows XP mindestens noch bis April 2015 pflegen – hat aber jetzt alles nichts mehr mit der Patchday-Nachlese zu tun – passte aber trotzdem irgendwie hier rein.
Ähnliche Artikel
a1: Auf zum 1. Update-Reigen 2014 am Patchday
a2: Die Krux mit Java
a3: Java im Browser deaktivieren
a4: ASK-Toolsbar & Co. bei der JAVA-Installation verhindern
a5: Warnung vor java.install.org
Nachtrag: Zum Microsoft Surface hat jemand bei MS Answers diese Auflistung zu Patches zusammen getragen.