Beim Update-Dienstag am 12. September hat Adobe mehrere Sicherheits-Updates veröffentlicht, um fünf teils als kritisch eingestufte Sicherheitslücken zu schließen. Diese betreffen die PDF-Werkzeuge Acrobat und Acrobat Reader, Connect und Experience Manager. Eine Schwachstelle in den PDF-Tools wird bereits für Angriffe genutzt. Adobe weist den PDF-Updates deshalb die höchste Prioritätsstufe 1 zu, den anderen die niedrigste Prioritätsstufe 3.
Adobe Updates im September
Produkt | anfällige Version(en) | abgesicherte Version(en) | Schwachstellen | Risiko |
---|---|---|---|---|
Acrobat und Reader DC | 23.003.20284 und älter | 23.006.20320 | 1 | kritisch |
Acrobat und Reader 2020 | 20.005.30516 und älter | 20.005.30524 | 1 | kritisch |
Experience Manager (AEM) | 6.5.17.0 und älter | 6.5.18.0 | 2 | hoch |
AEM | AEM Cloud Service (CS) | 2023.8 | 2 | hoch |
Connect | 12.3 und älter | 12.4.1 | 2 | hoch |
In seinen PDF-Tools Acrobat und Acrobat Reader hatte Adobe erst im August 30 Schwachstellen beseitigt. Im September kommt nur eine weitere hinzu. Adobe stuft die Sicherheitslücke CVE-2023-26369 als kritisch ein. Ein Angreifer könnte mit speziell präparierten PDF-Dateien Code einschleusen und ausführen. Dies geschieht offenbar bereits – laut Adobe bei „begrenzten“ Angriffen. Abhilfe schaffen Updates für Acrobat und Reader DC sowie Acrobat und Reader 2020 (siehe Tabelle).
▶Die neuesten Sicherheits-Updates
Der Adobe Experience Manager (AEM) weist bis einschließlich Version 6.5.17.0 zwei Cross-site Scripting (XSS-) Lücken (CVE-2023-38214, -38215). Sie könnten es einem Angreifer ermöglichen, beliebigen Code auszuführen und gelten als hohes Risiko. Auch der AEM Cloud Service ist betroffen. Wer diesen nutzt, erhält automatisch ein Update auf Release 2023.8. Für AEM 6.5 bietet der Hersteller ein Update auf die abgesicherte Version 6.5.18.0 an.
Auch in der Präsentationslösung Connect stecken zwei solcher XSS-Lücken (CVE-2023-29305, -29306), die Adobe als hohes Risiko einstuft. Anfällig sind alle Versionen bis einschließlich 12.3. Mit dem Update auf Version 12.4.1 werden die Sicherheitslücken geschlossen.
Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.