Beim Update-Dienstag am 8. August hat Adobe mehrere Sicherheits-Updates veröffentlicht, um 37 teils als kritisch eingestufte Sicherheitslücken zu schließen. Diese betreffen die PDF-Werkzeuge Acrobat und Acrobat Reader, Commerce und Magento, Dimension sowie das XMP Toolkit SDK. Bislang wird keine dieser Schwachstellen für Angriffe genutzt. Adobe weist allen Updates die niedrigste Prioritätsstufe 3 zu.
Adobe Updates August 2023
| Produkt | anfällige Version(en) | abgesicherte Version(en) | Schwachstellen | Risiko |
|---|---|---|---|---|
| Acrobat und Reader DC | 23.003.20244 und älter | 23.003.20269 | 30 | kritisch |
| Acrobat und Reader 2020 | 20.005.30467 und älter | 20.005.30514 (Windows) | 30 | kritisch |
| 20.005.30516 (macOS) | ||||
| Dimension | 3.4.8 und älter | 3.4.9 | 3 | kritisch |
| Commerce | 2.4.6-p1 und älter | 2.4.6-p2 | 3 | kritisch |
| 2.4.5-p3 und älter | 2.4.5-p4 | 3 | kritisch | |
| 2.4.4-p4 und älter | 2.4.4-p5 | 3 | kritisch | |
Magento Open Source | 2.4.6-p1 und älter | 2.4.6-p2 | 3 | kritisch |
| 2.4.5-p3 und älter | 2.4.5-p4 | 3 | kritisch | |
| 2.4.4-p4 und älter | 2.4.4-p5 | 3 | kritisch | |
| Dimension | 3.4.9 und älter | 3.4.10 | 3 | kritisch |
| XMP-Toolkit-SDK | 2022.06 und älter | 2023.07 | 1 | hoch |
Der größte Anteil an den gestopften Lücken entfällt einmal mehr auf Adobes PDF-Tools Acrobat und Acrobat Reader. Insgesamt 30 Schwachstellen haben externe Sicherheitsforscher darin entdeckt und an Adobe gemeldet, meistens via Trend Micro ZDI. Mehr als die Hälfte der Lücken hat allein der ZDI-Forscher Mat Powell aufgespürt. Adobe stuft 15 Schwachstellen als kritisch ein. Ein Angreifer könnte mit speziell präparierten PDF-Dateien Code einschleusen und ausführen. Abhilfe schaffen Updates für Acrobat und Reader DC sowie Acrobat und Reader 2020 (siehe Tabelle).
▶Die neuesten Sicherheits-Updates
Adobes Lösung für Online-Shops heißt schlicht Commerce und basiert auf der weiterhin kostenlos erhältlichen Open-Source-Plattform Magento, die Adobe im Jahr 2018 übernommen hat. Im August hat Adobe drei Sicherheitslücken in beiden Varianten geschlossen. Eine der Schwachstellen (CVE-2023-38208) ist als kritisch eingestuft. Ein angemeldeter Benutzer könnte Betriebssystembefehle injizieren und ausführen. Updates für ältere Commerce-Versionen (2.4.3 und älter) sind nur für Adobe-Kunden erhältlich, die am erweiterten Support-Programm teilnehmen.
▶Adobe beseitigt 0-Day-Lücke in ColdFusion
In der 3D-Grafikdesign-Software Dimension für Windows und macOS hat Mat Powell drei Schwachstellen entdeckt. Adobe stuft zwei der Lücken als kritisch ein. Ein Angreifer könnte mit präparierten Grafikdateien Code einschleusen und ausführen. In seinem XMP Toolkit SDK hat Adobe eine DoS-Lücke (Denial of Service) gestopft.
Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.