Seit den Sicherheits-Updates für Illustrator im Oktober hat Adobe nichts von sich hören lassen, den Patch Day im November komplett ausgelassen. Beim Update-Dienstag am 13. Dezember hat sich der Hersteller wieder gemeldet und Updates für drei Produkte bereitgestellt. Sie beheben insgesamt 38 Schwachstellen in Illustrator, Experience Manager und Campaign. Keine der Lücken ist als kritisch eingestuft oder wird bereits für Angriffe genutzt.
Vier Sicherheitslücken stecken in Illustrator 2022 bis einschließlich Version 26.5.1 sowie in Illustrator 2023 bis Version 27.0, jeweils für Windows und macOS. Alle vier Schwachstellen sind Datenlecks, die Adobe als hohes Risiko bewertet. Abhilfe schaffen die Updates auf Illustrator 2022 26.5.2 sowie Illustrator 2023 27.0.1.
▶Die neuesten Sicherheits-Updates
Die mit Abstand meisten Sicherheitslücken hat Adobe in seinem Experience Manager (AEM) geschlossen. In AEM bis Version 6.5.14.0 sowie im AEM Cloud Service (CS), jeweils für alle Plattformen, stecken 33 Schwachstellen. Bis auf eine sind dies alles Cross-site Scripting-Lücken (XSS), die geeignet sind, um beliebigen Code auszuführen. Nur die letzte Schwachstelle in der langen Liste ist eine URL-Umleitung, die Sicherheitsfunktionen umgehen kann. Sie ist auch die einzige Lücke, die Adobe nur als mittleres Risiko ausweist. Im AEM Cloud Service Release 2022.10.0 sowie in AEM 6.5.15.0 sind die Schwachstellen beseitigt.
Schließlich weisen Adobe Campaign Classic (ACC) v7 bis einschließlich 7.3.1 sowie ACC v8 bis 8.3.9 für Windows und Linux eine als hohes Risiko ausgewiesene Schwachstelle auf. Durch unzureichende Prüfung übergebener Daten ermöglicht es die Lücke CVE-2022-42343 einem Angreifer, sich höhere Rechte zu verschaffen. In den aktualisierten Versionen 7.3.2 und 8.4.2 haben die Entwickler das Problem behoben.
Die neuesten Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers.