Beim Update-Dienstag am 11. April hat Adobe Updates für fünf Produktfamilien veröffentlicht. Sie beheben insgesamt 56 Schwachstellen in Acrobat und Acrobat Reader, Digital Editions, Dimension, InCopy sowie Substance 3D Designer und Substance 3D Stager. Allein die ZDI-Forscher Mat Powell und Michael DePlante haben 47 dieser Sicherheitslücken entdeckt. Bislang wird keine dieser Schwachstellen für Angriffe genutzt. Adobe setzt für alle Updates die niedrigste Prioritätsstufe 3 an.
Adobe Updates im April 2023 kurz gefasst:
| Produkt | anfällige Version(en) | abgesicherte Version(en) | Schwach-stellen | Risiko |
|---|---|---|---|---|
| Acrobat und Reader DC | 23.001.20093 und älter | 23.001.20143 | 16 | kritisch |
| Acrobat und Reader 2020 | 20.005.30441 und älter | 20.005.30467 | 16 | kritisch |
| Dimension | 3.4.8 und älter | 3.4.9 | 15 | kritisch |
| Digital Editions | 4.5.11.187303 und älter | 1 | kritisch | |
| InCopy | 17.4 und älter | 17.4.1 | 1 | kritisch |
| InCopy | 18.1 und älter | 18.2 | 1 | kritisch |
| Substance 3D Stager | 2.0.1 und älter | 2.0.2 | 14 | kritisch |
| Substance 3D Designer | 12.4.0 und älter | 12.4.1 | 9 | kritisch |
In den PDF-Werkzeugen Acrobat und Acrobat Reader haben verschiedene Sicherheitsforscher insgesamt 16 Schwachstellen entdeckt. Darunter sind 14 Lücken, die Angreifer mit speziell präparierten PDF-Dateien ausnutzen könnten, um Code einzuschleusen. Einige der Schwachstellen kamen im März beim Hacker-Wettbewerb Pwn2own zum Einsatz, als AbdulAziz Hariri als erster Teilnehmer mit seinem Angriff auf Acrobat Reader unter macOS erfolgreich war. Adobe hat Updates für Acrobat und Reader DC sowie für Acrobat und Reader 2020 bereitgestellt.
Ebenfalls ein dicker Brocken ist das Update für Dimension. In der 3D-Grafikdesign-Software hatte Adobe bereits im März 58 Sicherheitslücken geschlossen. In diesem Monat kommen noch 15 weitere Schwachstellen hinzu, von denen Adobe 14 als kritisch einstuft. Betroffen sind alle Versionen bis einschließlich 3.4.8. Abhilfe schafft das Update auf die neue Version 3.4.9. Ein Sicherheits-Update für Sketchup, das Dimension benötigt, kommt noch hinzu.
▶Die neuesten Sicherheits-Updates
In Substance 3D Stager bis Version 2.0.1 hat Mat Powell 14 Schwachstellen entdeckt, von denen Adobe 10 als kritisch einstuft. Die Version 2.0.1 hat Adobe erst im März veröffentlicht, nachdem Mat Powell 16 Lücken in den Vorversionen gefunden hatte. Mit dem Update auf Substance 3D Stager 2.0.2 sind auch diese Lücken beseitigt. In Substance 3D Designer bis zur Version 12.4.0 ist Mat Powell neunmal fündig geworden. Adobe stuft alle Lücken als kritisch ein und hat die bereinigte Version 12.4.1 bereitgestellt.
In Digital Editions und InCopy hat Adobe jeweils eine als kritisch eingestufte RCE-Lücke geschlossen. Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.