Adobes Beitrag zu Microsofts Update-Dienstag enthält in diesem Monat zwar ein Update für den Flash Player, es schließt jedoch keine Sicherheitslücken. Dafür gibt es Updates gegen kritische Lücken in Photoshop CC, Brackets sowie Acrobat und Reader. Auch für ColdFusion gibt es Updates, die behandelte Schwachstelle ist jedoch weniger problematisch. Wenn Adobe Sicherheits-Updates für seine PDF-Produkte Acrobat und Acrobat Reader veröffentlicht, dann ist das regelmäßig der dickste Brocken an einem Update-Dienstag. Das gilt auch diesmal, allerdings sind 21 gestopfte Lücken vergleichsweise wenig. Darunter sind 14 Schwachstellen, die Adobe als kritisch einstuft. Mit präparierten PDF-Dateien könnte ein Angreifer beliebigen Code einschleusen und mit Benutzerrechten ausführen. Eine weitere Schwachstelle (CVE-2019-16444) kann dazu führen, dass eine untergeschobene Programmbibliothek geladen wird. Dieser Angriffstyp ist als „DLL-Hijacking“, „Binary Planting“ oder „DLL Preloading“ bekannt. In Photoshop CC bis einschließlich der Versionen 20.0.7 und 21.0.1 hat Honggang Ren (FortiGuard Labs) zwei Sicherheitslücken entdeckt und an Adobe gemeldet. Beide Lücken stuft Adobe als kritisch ein, denn ein Angreifer könnte Code einschleusen und ausführen. Abhilfe schaffen Updates auf die neuen Versionen Photoshop CC 20.0.8 und 21.0.2. Der HTML-Editor Brackets ist ein Open-Source-Projekt, das Adobe 2014 ins Leben gerufen hat. Googles Sicherheitsforscher Tavis Ormandy hat darin eine Sicherheitslücke entdeckt, die es erlaubt Befehle zu injizieren. Dadurch kann beliebiger Code ausgeführt werden, somit stuft Adobe die Lücke (CVE-2019-8255) als kritisch ein. Versionen bis einschließlich 1.14 sind anfällig, in Version 1.14.1 für Windows, macOS und Linux ist dieses Problem beseitigt. ColdFusion 2018 bis Update 6 enthält eine Schwachstelle, die Adobe als wichtig ansieht. Durch vererbte Rechte im Standard-Installationsverzeichnis können unnötig hohe Berechtigungen zu einer anfälligen Installation führen. Wer bei der Installation Adobes Lockdown-Empfehlungen gefolgt ist, ist nicht betroffen. In ColdFusion 2018 Update 7 ist der Fehler behoben. Der neueste Flash Player 32.0.0.303 beseitigt laut Adobe lediglich einige Bugs, jedoch keine Sicherheitslücken. Das Update ist nicht für den in Edge und Internet Explorer 11 (ab Windows 8) integrierten Flash Player erhältlich. Dieser verharrt seit September bei Version 32.0.0.255. Die aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.