Beim Update-Dienstag am 9. Mai hat Adobe ein Update für Substance 3D Painter veröffentlicht. Es behebt 14 meist als kritisch eingestufte Sicherheitslücken in dem Werkzeug zur Texturierung von 3D-Elementen. Der ZDI-Forscher Mat Powell hat alle 14 Lücken entdeckt und an Adobe gemeldet. Bislang wird keine dieser Schwachstellen für Angriffe genutzt. Adobe setzt für dieses Update die niedrigste Prioritätsstufe 3 an.
In Substance 3D Painter bis einschließlich Version 8.3.0 für alle Plattformen hat Mat Powell 14 Schwachstellen entdeckt, von denen Adobe 11 als kritisch einstuft. Im schlimmsten Fall könnte ein Angreifer beliebigen Code einschleusen und mit Benutzerrechten ausführen. Der Angreifer müsste einen Benutzer dazu bewegen, eine speziell präparierte Datei mit einer anfälligen Programmversion zu öffnen.
Weitere drei Lücken weist Adobe als hohes Risiko aus. Dabei handelt es sich um Speicherlecks. Mit dem zum Download bereitgestellten Update auf Substance 3D Painter 8.3.1 für alle Plattformen sind diese Lücken beseitigt.
▶Die neuesten Sicherheits-Updates
Die Produktfamilie Substance 3D ist erst in den letzten Monaten in den Fokus des ZDI-Schwachstellenjägers Mat Powell gerückt. Im März und April hatte Powell insgesamt 30 Sicherheitslücken in Substance 3D Stager entdeckt. Im April kamen noch neun kritische Lücken in Substance 3D Designer hinzu.
Es ist durchaus möglich, dass Adobe später in diesem Monat noch weitere Updates nachreicht. Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.