Beim Update-Dienstag am 13. Juni hat Adobe mehrere Sicherheits-Updates veröffentlicht, um 18 teils als kritisch eingestufte Sicherheitslücken zu schließen. Die Liste anfälliger Anwendungen umfasst Experience Manager (AEM), Commerce und Magenta, Animate sowie Substance 3D Designer. Bislang wird keine dieser Schwachstellen für Angriffe genutzt. Adobe setzt für alle Updates die niedrigste Prioritätsstufe 3 an. Im Mai hatte Adobe lediglich ein Update bereitgestellt.
Im Adobe Experience Manager (AEM), einer Software zu Verwaltung von Websites (CMS: Content Management System), hat der Hersteller vier Sicherheitslücken beseitigt. Drei XSS-Lücken (Cross-site Scripting) stuft Adobe als hohes Risiko ein, die vierte Schwachstelle ist als mittleres Risiko ausgewiesen. Anfällig sind alle Version bis einschließlich 6.5.16.0 sowie der AEM Cloud Service. Abhilfe schaffen Updates auf AEM 6.5.17.0 sowie AEM Cloud Service 2023.4. Letzterer wird automatisch aktualisiert.
Adobes E-Commerce-Lösung basiert auf der quelloffenen Shop-Software Magenta und hört auf den Namen Commerce. Adobe pflegt bei beiden mehrere Versionszweige, teilweise nur noch für Kunden im „Extended Support Program“. Insgesamt hat Adobe 12 Sicherheitslücken geschlossen. Zwei Schwachstellen (CVE-2023-22248, CVE-2023-29297) weist Adobe als kritisch aus. Shop-Betreiber sollten auch die Versionshinweise (Release Notes) lesen, um die passende Vorgehensweise für ihre Installation zu erfahren.
▶Die neuesten Sicherheits-Updates
Die Software Animate 2022 bis einschließlich Version 22.0.9 sowie Animate 2023 bis v23.0.1 weist eine als kritisch eingestufte Sicherheitslücke (CVE-2023-29321) auf. Es handelt sich um eine Use-after-free-Lücke, die ausgenutzt werden könnte, um beliebigen Code auszuführen. In Animate 2022 22.0.10 sowie Animate 2023 23.0.2 hat Adobe die Schwachstelle behoben.
In Substance 3D Designer bis einschließlich Version 12.4.1 für Windows und macOS hat der ZDI-Forscher Mat Powell eine Schwachstelle (CVE-2023-21618) entdeckt, die Adobe als kritisch einstuft. Ein Angreifer könnte beliebigen Code einschleusen und mit Benutzerrechten ausführen. Dazu müsste er einen Benutzer dazu bewegen, eine speziell präparierte Datei mit einer anfälligen Programmversion zu öffnen. In der zum Download bereitgestellten Version 13.0.0 hat Adobe diese Lücke geschlossen.
Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.