{"id":285950,"date":"2023-09-13T16:03:19","date_gmt":"2023-09-13T14:03:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285950"},"modified":"2024-06-17T14:12:27","modified_gmt":"2024-06-17T12:12:27","slug":"kritische-sicherheitsupdates-chrome-edge-firefox-thunderbird-adobe-acrobat-foxit-pdf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/13\/kritische-sicherheitsupdates-chrome-edge-firefox-thunderbird-adobe-acrobat-foxit-pdf\/","title":{"rendered":"Kritische Sicherheitsupdates: Chrome, Edge, Firefox, Thunderbird, Adobe Acrobat, Foxit PDF"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Update\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Update-01.jpg\" alt=\"Update\" border=\"0\" \/>Zum 12. September 2023 gab es weitere Sicherheitsupdates f\u00fcr diverse Software, die teilweise kritische Schwachstellen (0-Days) schlie\u00dfen sollen. Adobe hat Update f\u00fcr den Acrobat und den Reader ver\u00f6ffentlicht, und der Foxit-PDF-Reader ist auch betroffen. Bei den Chromium-Browsern m\u00fcssen Sicherheitsl\u00fccken beim Google Chrome und beim Edge geschlossen werden. Die Mozilla Entwickler haben dagegen Notfall-Updates f\u00fcr den Firefox und den Thunderbird herausgebracht. Ich fasse mal die Updates in diesem Sammelbeitrag zusammen.<\/p>\n<p><!--more--><\/p>\n<h2>Acrobat-Software<\/h2>\n<p>Sowohl Adobe als auch FoxIt haben zum 12. September 2023 Updates ver\u00f6ffentlicht, die Schwachstellen beseitigen, die bereits angegriffen werden.<\/p>\n<h3>Adobe Acrobat (Reader) DC 23.006.20320.<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/f757524e83bd4f499a4757905e18c2b3\" alt=\"\" width=\"1\" height=\"1\" \/>Von Adobe gab es zum 12. September 2023 ein geplantes Update f\u00fcr den Adobe Acrobat (Reader) DC auf die Build 23.006.20320. Dieses Update korrigiert mehrere Bugs und schlie\u00dft laut <a href=\"https:\/\/www.adobe.com\/devnet-docs\/acrobatetk\/tools\/ReleaseNotesDC\/continuous\/dccontinuoussep2023.html#dccontinuousseptwentytwentythree\">dieser Adobe-Seite<\/a> auch die Schwachstelle CVE-2023-26369 im <a href=\"https:\/\/web.archive.org\/web\/20240511083452\/https:\/\/helpx.adobe.com\/security\/products\/acrobat\/apsb23-34.html\" target=\"_blank\" rel=\"noopener\">Reader<\/a> und im <a href=\"https:\/\/web.archive.org\/web\/20240511083452\/https:\/\/helpx.adobe.com\/security\/products\/acrobat\/apsb23-34.html\" target=\"_blank\" rel=\"noopener\">Acrobat<\/a>. Laut Adobe finden begrenzte Angriffe \u00fcber diese Schwachstelle statt. Die Kollegen von deskmodder.de haben <a href=\"https:\/\/www.deskmodder.de\/blog\/2023\/09\/12\/adobe-acrobat-reader-dc-23-006-20320-als-neues-sicherheitsupdate-im-september\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> die Download-Links der verschiedenen Produkte zusammen getragen.<\/p>\n<h3>Foxit PDF Editor\/PDF Reader<\/h3>\n<p>Der Hersteller Foxit hat Sicherheitsupdates auf die Version 2023.2 f\u00fcr seinen Windows-Produkte Foxit PDF Editor und Foxit PDF Editor Reader ver\u00f6ffentlicht (danke an den Leser f\u00fcr den <a href=\"https:\/\/borncity.com\/blog\/2023\/09\/13\/patchday-windows-11-server-2022-updates-12-september-2023\/#comment-157073\">Hinweis<\/a>). In der Seite f\u00fcr <a href=\"https:\/\/www.foxit.com\/de\/support\/security-bulletins.html\" target=\"_blank\" rel=\"noopener\">Sicherheitshinweise<\/a> werden gleich mehrere Schwachstellen in den Produkten aufgef\u00fchrt, die durch die Updates beseitigt werden sollen. heise hat <a href=\"https:\/\/www.heise.de\/news\/Sicherheitsupdates-Schadcode-Schlupfloecher-in-Foxit-PDF-geschlossen-9303972.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> noch einige Hinweise zu den Schwachstellen ver\u00f6ffentlicht.<\/p>\n<h2>Chromium-Browser<\/h2>\n<p>Sowohl der Google Chrome als auch der Microsoft Edge haben Sicherheitsupdates erhalten, um eine kritische Schwachstelle zu schlie\u00dfen.<\/p>\n<h3>Google Chrome 117 Desktop<\/h3>\n<p>Google hat zum 12. September 2023 Updates des Chrome Browsers 117 im Stable Channel f\u00fcr Mac, Linux und Windows freigegeben (danke an EP f\u00fcr den <a href=\"https:\/\/borncity.com\/win\/2023\/09\/11\/google-chrome-116-0-5845-187-188-fixes-critical-vulnerability\/#comment-16346\" target=\"_blank\" rel=\"noopener\">Hinweis<\/a>). Der <a href=\"https:\/\/chromereleases.googleblog.com\/2023\/09\/stable-channel-update-for-desktop_12.html\" target=\"_blank\" rel=\"noopener\">betreffende Eintrag<\/a> f\u00fcr den Chrome 117 findet sich im <a href=\"https:\/\/chromereleases.googleblog.com\/\" target=\"_blank\" rel=\"noopener\">Google-Blog<\/a>. Der Stable Channel wurde f\u00fcr macOS und Linux auf117.0.5938.62 aktualisiert. F\u00fcr Windows wurde der Chrome auf die Versionen 117.0.5938.62\/.63 aktualisiert. Es ist ein Update, welches folgende Schwachstellen schlie\u00dft.<\/p>\n<ul>\n<li>[$NA][<a href=\"https:\/\/crbug.com\/1479274\">1479274<\/a>] Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Toronto\u02bcs Munk School on 2023-09-06<\/li>\n<li>[$3000][1430867] Medium CVE-2023-4900: Inappropriate implementation in Custom Tabs. Reported by Levit Nudi from Kenya on 2023-04-06<\/li>\n<li>[$3000][1459281] Medium CVE-2023-4901: Inappropriate implementation in Prompts. Reported by Kang Ali on 2023-06-29<\/li>\n<li>[$2000][1454515] Medium CVE-2023-4902: Inappropriate implementation in Input. Reported by Axel Chong on 2023-06-14<\/li>\n<li>[$1000][1446709] Medium CVE-2023-4903: Inappropriate implementation in Custom Mobile Tabs. Reported by Ahmed ElMasry on 2023-05-18<\/li>\n<li>[$1000][1453501] Medium CVE-2023-4904: Insufficient policy enforcement in Downloads. Reported by Tudor Enache @tudorhacks on 2023-06-09<\/li>\n<li>[$500][1441228] Medium CVE-2023-4905: Inappropriate implementation in Prompts. Reported by Hafiizh on 2023-04-29<\/li>\n<li>[$6000][1449874] Low CVE-2023-4906: Insufficient policy enforcement in Autofill. Reported by Ahmed ElMasry on 2023-05-30<\/li>\n<li>[$2000][1462104] Low CVE-2023-4907: Inappropriate implementation in Intents. Reported by Mohit Raj (shadow2639)\u00a0 on 2023-07-04<\/li>\n<li>[$TBD][1451543] Low CVE-2023-4908: Inappropriate implementation in Picture in Picture. Reported by Axel Chong on 2023-06-06<\/li>\n<li>[$TBD][1463293] Low CVE-2023-4909: Inappropriate implementation in Interstitials. Reported by Axel Chong on 2023-07-09<\/li>\n<\/ul>\n<p>Details werden wie \u00fcblich keine genannt. Google ist bekannt, dass ein Exploit f\u00fcr CVE-2023-4863 in freier Wildbahn existiert. Chrome wird in den n\u00e4chsten Tagen \u00fcber die automatische Update-Funktion auf die Systeme ausgerollt. Man kann (und sollte in diesem Fall) den Browser auch manuell (\u00fcber das Men\u00fc und den Befehl <em>\u00dcber Google Chrome<\/em>) aktualisieren. Die aktuelle Build des Chrome-Browsers l\u00e4sst sich auch <a href=\"https:\/\/www.google.com\/chrome\/\">hier herunterladen<\/a>.<\/p>\n<blockquote><p>Chrome f\u00fcr Android wurde auf die Version 117.0.5938.60 <a href=\"https:\/\/chromereleases.googleblog.com\/2023\/09\/chrome-for-android-update_01794690103.html\" target=\"_blank\" rel=\"noopener\">aktualisiert<\/a> und wird ausgerollt.<\/p><\/blockquote>\n<h3>Edge 116.0.1938.81<\/h3>\n<p>Microsoft hat den Edge-Browser im Stable-Channel auf die Version 116.0.1938.81 aktualisiert. In den <a href=\"https:\/\/learn.microsoft.com\/en-us\/deployedge\/microsoft-edge-relnote-stable-channel#version-1160193881-september-12-2023\" target=\"_blank\" rel=\"noopener\">Versionshinweisen<\/a> hei\u00dft es: \"Verschiedene Fehler und Leistungsprobleme f\u00fcr die Stable-Version behoben\". In den <a href=\"https:\/\/learn.microsoft.com\/en-us\/deployedge\/microsoft-edge-relnotes-security#september-12-2023\" target=\"_blank\" rel=\"noopener\">Sicherheitshinweisen<\/a> hei\u00dft es, dass das Update neben Fehlerbehebungen und Stabilit\u00e4tsverbesserungen auch die neuesten Sicherheitskorrekturen f\u00fcr den Chromium-Browser enth\u00e4lt. Zudem wird die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2023-4863\" target=\"_blank\" rel=\"noopener\">CVE-2023-4863<\/a> beseitigt.<\/p>\n<h2>Firefox-\/Thunderbird-Updates<\/h2>\n<p>Die Mozilla-Entwickler haben einige Updates f\u00fcr verschieden Builds des Firefox-Browsers ver\u00f6ffentlicht (danke an EP f\u00fcr den <a href=\"https:\/\/borncity.com\/win\/2023\/08\/30\/firefox-117-115-2-esr-102-15-esr\/#comment-16347\" target=\"_blank\" rel=\"noopener\">Hinweis<\/a>). Und der Thunderbird wurde aktualisiert, um eine Schwachstelle zu schlie\u00dfen.<\/p>\n<h3>Firefox 117.0.1<\/h3>\n<p>Es handelt sich um das erste Update des Ende August ver\u00f6ffentlichten Firefox 117. Laut den Release Notes wurden verschiedene Fehler beseitigt.<\/p>\n<ul>\n<li>Fixed a bug causing links opened from outside Firefox to not open on macOS (bug 1850828)<\/li>\n<li>Fixed a bug causing extensions using an event page for long-running tasks to be terminated while running, causing unexpected behavior changes (bug 1851373)<\/li>\n<li>Temporarily reverted an intentional behavior change preventing Javascript from changing URL.protocol (bug 1850954).<br \/>\nNOTE: This change is expected to ship in a later Firefox release alongside other web browsers and sites are encouraged to find alternate ways to change the protocol if needed.<\/li>\n<li>Fixed audio worklets not working for sites using WebAssembly exception handling (bug 1851468)<\/li>\n<li>Fixed the Reopen all tabs option in the Recently closed tabs menu sometimes failing to open all tabs (bug 1850856)<\/li>\n<li>Fixed the bookmarks menu sometimes remaining partially visible when minimizing Firefox (bug 1843700)<\/li>\n<li>Fixed an issue causing incorrect time zones to be detected on some sites (bug 1848615)<\/li>\n<\/ul>\n<p>Gewichtiger ist aber die in allen Versionen zum 12. September 2023 geschlossene Schwachstelle <a href=\"https:\/\/www.mozilla.org\/en-US\/security\/advisories\/mfsa2023-40\/#CVE-2023-4863\" target=\"_blank\" rel=\"noopener\">CVE-2023-4863: Heap buffer overflow in libwebp<\/a>.<\/p>\n<h3>Firefox 115.2.1 ESR<\/h3>\n<p>Es ist ein Wartungsupdate f\u00fcr den Firefox. <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/19d095b7466e40dba76cd0d6784bd95c\" alt=\"\" width=\"1\" height=\"1\" \/>Gem\u00e4\u00df den <a href=\"https:\/\/www.mozilla.org\/en-US\/firefox\/115.2.1\/releasenotes\/\" target=\"_blank\" rel=\"noopener\">Release Notes<\/a> wurde im Browser die Schwachstelle <a href=\"https:\/\/www.mozilla.org\/en-US\/security\/advisories\/mfsa2023-40\/#CVE-2023-4863\" target=\"_blank\" rel=\"noopener\">CVE-2023-4863: Heap buffer overflow in libwebp<\/a> behoben.<\/p>\n<h3>Firefox 102.15.1 ESR<\/h3>\n<p>Laut den Kollegen von <a href=\"https:\/\/www.deskmodder.de\/blog\/2023\/09\/12\/firefox-117-0-1-115-2-1-esr-und-102-15-1-esr-als-sicherheitsupdate-und-weitere-korrekturen\/\" target=\"_blank\" rel=\"noopener\">deskmodder<\/a> gab es auch ein Wartungsupdate des <a href=\"https:\/\/www.mozilla.org\/en-US\/firefox\/102.15.1\/releasenotes\/\" target=\"_blank\" rel=\"noopener\">Firefox 102.15.1<\/a>.1, welches ebenfalls die Schwachstelle <a href=\"https:\/\/www.mozilla.org\/en-US\/security\/advisories\/mfsa2023-40\/#CVE-2023-4863\" target=\"_blank\" rel=\"noopener\">CVE-2023-4863: Heap buffer overflow in libwebp<\/a> beseitigt.<\/p>\n<h3>Thunderbird 115.2.2<\/h3>\n<p>Nachdem vor Tagen die Nutzer der Version 102 auf den Thunderbird 115 angehoben wurde, d\u00fcrfen alle Anwender dieser Version ein Sicherheitsupdate auf die Version 115.2.2 installieren. Laut <a href=\"https:\/\/www.thunderbird.net\/en-US\/thunderbird\/115.2.2\/releasenotes\/\" target=\"_blank\" rel=\"noopener\">Release Notes<\/a> wird der Version ebenfalls die Schwachstelle <a href=\"https:\/\/www.mozilla.org\/en-US\/security\/advisories\/mfsa2023-40\/#CVE-2023-4863\" target=\"_blank\" rel=\"noopener\">CVE-2023-4863: Heap buffer overflow in libwebp<\/a> beseitigt. Wer noch auf dem Thunderbird 102.er Zweig ist, sollte Thunderbird 102.15.1 installieren.<\/p>\n<h2>OpenSSL: Update und EOL<\/h2>\n<p>Blog-Leser Norddeutsch hat darauf hingewiesen, dass OpenSSL gem\u00e4\u00df <a href=\"https:\/\/www.openssl.org\/source\/\" target=\"_blank\" rel=\"noopener\">dieser Webseite<\/a> zum 11. September 2023 auf die Version openssl-1.1.1w aktualisiert wurde. Es wurde wohl die Schwachstelle CVE-2023-4807 unter Windows\u00a0 geschlossen &#8211; Details gibt es <a href=\"https:\/\/www.openssl.org\/news\/secadv\/20230908.txt\" target=\"_blank\" rel=\"noopener\">hier<\/a>. Gleichzeitig wird OpenSSL 1.1.1 als <a href=\"https:\/\/www.openssl.org\/blog\/blog\/2023\/09\/11\/eol-111\/\" target=\"_blank\" rel=\"noopener\">End-of-Life gesetzt<\/a> und f\u00e4llt aus dem Support (danke an Tom f\u00fcr den Kommentar). Die Version 3.0 wird bis 2026 unterst\u00fctzt.<\/p>\n<h2>Zoom Update<\/h2>\n<p>Erg\u00e4nzung: Zur Zoom-Kommunikationssoftware gibt es ebenfalls einen <a href=\"https:\/\/explore.zoom.us\/en\/trust\/security\/security-bulletin\/\" target=\"_blank\" rel=\"noopener\">Sicherheitshinweis<\/a>, weil zum 12. Sept. 2023 zahlreiche Schwachstellen geschlossen wurden. Also Zoom updaten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Zum 12. September 2023 gab es weitere Sicherheitsupdates f\u00fcr diverse Software, die teilweise kritische Schwachstellen (0-Days) schlie\u00dfen sollen. Adobe hat Update f\u00fcr den Acrobat und den Reader ver\u00f6ffentlicht, und der Foxit-PDF-Reader ist auch betroffen. Bei den Chromium-Browsern m\u00fcssen Sicherheitsl\u00fccken beim &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/09\/13\/kritische-sicherheitsupdates-chrome-edge-firefox-thunderbird-adobe-acrobat-foxit-pdf\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[4328,3836,4315],"class_list":["post-285950","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-sicherheit","tag-software","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285950","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285950"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285950\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285950"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285950"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285950"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}