Beim Update-Dienstag am 14. März hat Adobe Updates für acht Produkte veröffentlicht. Sie beheben insgesamt 105 Schwachstellen in ColdFusion, Commerce und Magento, Creative Cloud, Dimension, Experience Manager (AEM), Illustrator, Photoshop und Substance 3D Stager. Eine der ColdFusion-Lücken wird bereits für Angriffe genutzt. Der ZDI-Forscher Mat Powell hat wieder einmal einen großen Anteil an der Entdeckung der Schwachstellen.
Adobe Updates März 2023 kurz gefasst:
| Produkt | anfällige Version(en) | abgesicherte Version(en) | Schwach-stellen | Risiko |
|---|---|---|---|---|
| ColdFusion 2018 | Update 15 und älter | Update 16 | 3 | kritisch (ITW) |
| ColdFusion 2021 | Update 5 und älter | Update 6 | 3 | kritisch (ITW) |
| Commerce | 2.4.4-p2 und älter | 2.4.4-p3 | 4 | kritisch |
| 2.4.5-p1 und älter | 2.4.5-p2, 2.4.6 | 4 | kritisch | |
| Magento Open Source | 2.4.4-p2 und älter | 2.4.4-p3 | 4 | kritisch |
| 2.4.5-p1 und älter | 2.4.5-p2, 2.4.6 | 4 | kritisch | |
| Creative Cloud | 5.9.1 und älter | 5.10 | 1 | kritisch |
| Dimension | 3.4.7 und älter | 3.4.8 | 58 | kritisch |
| Experience Manager | CS | CS Release 2023.1 | 18 | hoch |
| 6.5.15.0 und älter | 6.5.16.0 | 18 | hoch | |
| Illustrator 2023 | 27.2.0 und älter | 27.3.1 | 5 | kritisch |
| Photoshop 2022 | 23.5.3 und älter | 23.5.4 | 1 | kritisch |
| Photoshop 2023 | 24.1.1 und älter | 24.2.1 | 1 | kritisch |
| Substance 3D Stager | 2.0.0 und älter | 2.0.1 | 16 | kritisch |
Der mit Abstand dickste Brocken ist das Update für Dimension. In der 3D-Grafikdesign-Software stecken bis zur Version 3.4.7 für Windows und macOS 58 Sicherheitslücken, von denen Adobe 40 als kritisch einstuft. Mat Powell hat allein 39 davon entdeckt. Abhilfe schafft das Update auf die neue Version 3.4.8.
In ColdFusion 2018 und 2021 hat Adobe drei Schwachstellen beseitigt, zwei davon weist der Hersteller als kritisch aus. Die Sicherheitslücke CVE-2023-26360 wird laut Adobe bereits für begrenzte Angriffe ausgenutzt. Unzureichende Zugriffskontrollen ermöglichen es einem Angreifer, beliebigen Code auszuführen. Für beide Versionen sind Updates erhältlich. Zusätzlich müssen Sie die aktuelle Java-Version (etwa JDK 11.0.18) installieren, damit der Server abgesichert ist.
▶Die neuesten Sicherheits-Updates
In der Shop-Lösung Commerce und dessen quelloffener Basis Magento hat Adobe vier Sicherheitslücken geschlossen. Als kritisch ist die Schwachstelle CVE-2023-22247 ausgewiesen. Sie erlaubt über eine XML-Injektion beliebige Lesezugriffe auf das Dateisystem. Ein Angreifer könnte so etwa Kundendaten herunterladen.
Vier der fünf in Illustrator 2023 beseitigten Lücken stuft Adobe als kritisch ein. In Photoshop 2022 und 2023 musste der Hersteller nur eine kritische Lücke stopfen. Die meisten dieser Lücken lassen sich mit speziell präparierten Bilddateien ausnutzen, um Code einzuschleusen und mit Benutzerrechten auszuführen.
In Substance 3D Stager bis Version 2.0.0 hat Mat Powell 16 Schwachstellen entdeckt, von denen Adobe 12 als kritisch einstuft. Hinzu kommen noch drei Lücken in Sketchup, davon zwei als kritisch ausgewiesene. Mit dem Update auf Substance 3D Stager 2.0.1 sind alle diese Lücken beseitigt.
Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.