Adobe beseitigt 15 kritische Lücken

Adobe hat wichtige Sicherheits-Updates für fünf Produktfamilien bereitgestellt. Die Updates beheben 25 meist als kritisch eingestufte Sicherheitslücken.

Beim Patch Day im August hat Adobe 25 Sicherheitslücken in fünf Programmfamilien geschlossen, die es überwiegend als kritisch ausgewiesen hat. Betroffen sind Acrobat, Acrobat Reader, Illustrator, Framemaker, Premiere Elements sowie Commerce und Magento. Laut Adobe wird bislang keine der Lücken für Angriffe genutzt.

In den PDF-Werkzeugen Acrobat und Acrobat Reader hatte Adobe bereits mit den Quartals-Updates im Juli 22 Sicherheitslücken geschlossen. Im August legt der Hersteller nach und stopft weitere sieben Lücken. Drei davon stuft Adobe als kritisch ein. Ein Angreifer könnte mittels präparierter PDF-Dokumente beliebigen Code einschleusen, der mit den Rechten des angemeldeten Benutzers ausgeführt würde. Abhilfe schaffen Updates für die drei noch gepflegten Produktgenerationen (Windows und macOS):

In Illustrator hat der Sicherheitsforscher Mat Powell (Trend Micro ZDI) vier Schwachstellen entdeckt (CVE-2022-34260 bis -34263). Zwei davon stuft Adobe als kritisch ein (RCE: Remote Code Execution). Anfällig sind Illustrator 2022 bis einschließlich Version 26.3.1 sowie Illustrator 2021 bis 25.4.6, jeweils für Windows und macOS. In den neuen Versionen Illustrator 2022 26.4 sowie Illustrator 2021 25.4.7 sind die Sicherheitslücken geschlossen.

▶Die neuesten Sicherheits-Updates

Auch in Framemaker für Windows ist Mat Powell fündig geworden. Er hat sechs Sicherheitslücken an Adobe gemeldet. Fünf dieser Lücken stuft Adobe als kritisch ein. Drei dieser RCE-Lücken könnten mit präparierten SVG-Dateien (Scalable Vector Graphics) ausgenutzt werden. Betroffen sind Framemaker 2019 bis einschließlich Update 8 sowie Framemaker 2020 bis Update 4. Adobe hat ZIP-Archive mit fehlerbereinigten Programmbibliotheken (DLLs) bereitgestellt, die Kunden jedoch selbst entpacken und ins Programmverzeichnis kopieren müssen, um die anfälligen DLLs zu überschreiben. Nach dem Programmstart sollte Framemaker in der Version 15.0.8 (2019) oder 16.0.4 (2020) vorliegen.

Das Videoschnittprogramm Premiere Elements 2022 (Version 20.0) für Windows und macOS enthält eine Sicherheitslücke (CVE-2022-34235), die Adobe als kritisch ausweist. Die Software sucht nach benötigten Ressourcen wie Programmbibliotheken (DLLs), ohne dabei den Suchpfad explizit anzugeben. Dadurch könnte ein Angreifer dem Programm präparierte DLLs unterschieben, wenn er sie in einem passenden Verzeichnis bereitstellen kann. Ein Update behebt das Problem.

Nach der Übernahme der quelloffenen Online-Shop-Lösung Magento im Jahr 2018 hat Adobe daraus eine erweiterte, kostenpflichtige Edition (Adobe Commerce) abgeleitet. Magento Open Source und Adobe Commerce teilen sich die Software-Basis und damit auch deren Sicherheitslücken. Im August hat Adobe darin sieben Sicherheitslücken geschlossen. Vier dieser Lücken stuft Adobe als kritisch ein. Je nach installierter Vorversion sollte die Software nach dem fälligen Update eine dieser Versionsnummern aufweisen: 2.3.7-p4, 2.4.3-p3, 2.4.4-p1 oder 2.4.5 (für beide Varianten).

Die aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers .

Schreibe einen Kommentar

X

Main Menu