2586120

Adobe schließt kritische PDF-Lücken

12.05.2021 | 09:28 Uhr | Frank Ziemann

Adobe hat Sicherheits-Updates für ein Dutzend Programme bereitgestellt. Die Updates für Acrobat Reader beseitigen auch eine Lücke, die bereits für Angriffe ausgenutzt wird.

Adobe steuert zum Patch Day im Mai Sicherheits-Updates für 12 Produkte bei. Der Software-Hersteller beseitigt insgesamt 43 Schwachstellen in Acrobat und Reader, Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Magento, Creative Cloud Desktop, Media Encoder, Medium, After Effects und Animate. Mehr als die Hälfte dieser Sicherheitslücken ist als kritisch ausgewiesen, fast alle sind durch externe Sicherheitsforscher entdeckt und gemeldet worden.

In den PDF-Tools Acrobat und Acrobat Reader hat Adobe insgesamt 14 Schwachstellen beseitigt, von denen der Hersteller zehn als kritisch ausweist. Sie können mit präparierten PDF-Dateien ausgenutzt werden, um beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen. Adobe liegt ein Bericht vor, laut dem die Lücke CVE-2021-28550 bereits für begrenzte Angriffe auf Windows-Nutzer des Acrobat Reader genutzt würde. Adobe hat Updates für die anfälligen Versionen bereitgestellt, siehe Tabelle unten.

Die neuesten Sicherheits-Updates

In der Layout-Software InDesign bis 16.0 hat Adobe drei kritische Lücken geschlossen. Die Schwachstellen resultieren aus der unzureichenden Prüfung eingegebener Daten. Daraus können Pufferläufe entstehen, wodurch eingeschleuster Code ausgeführt würde.

In Illustrator 25.2 und älter stecken fünf Sicherheitslücken, die Adobe als kritisch einstuft. Auch hier kann schädlicher Code eingeschleust und ausgeführt werden. In After Effects bis einschließlich 18.1 steckt eine solche Lücke, ebenso in der Creative Cloud Desktop-Anwendung 5.3 und älter.

Von den sieben in der Online-Shop-Lösung Magento geschlossenen Lücken ist keine als kritisch ausgewiesen, eine gilt als hohes Risiko. Bei dieser Schwachstelle (CVE-2021-28556) könnte beliebiger Javascript-Code im Browser ausgeführt werden. Die übrigen Lücken gelten nur als mittleres Risiko.

Die aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers .

Produkt

anfällige Version(en)

abgesicherte Version

Schwachstellen,  Risiko

Acrobat und Reader DC

2021.001.20150 und älter

2021.001.20155 

10 kritisch, 4 hoch

Acrobat und Reader 2020

2020.001.30020 und älter

2020.001.30025

"

Acrobat und Reader 2017

2017.011.30194 und älter

2017.011.30196 

"

After Effects

18.1 und älter

18.2

1 kritisch

Animate

21.0.5 und älter

21.0.6

2 kritisch, 5 hoch

Creative Cloud Desktop

5.3 und älter

5.4.3

1 kritisch

Experience Manager

6.5.7.0 und älter

6.5.8.0

1 kritisch, 1 hoch

Experience Manager

6.4.8.3 und älter

6.4.8.4

"

Experience Manager

6.3.3.8 und älter

--

"

Experience Manager

Cloud Service

Auto-update

"

Genuine Service

7.1 und älter

7.3

1 hoch

Illustrator

25.2 und älter

25.2.3

5 kritisch

InCopy

16.0 und älter

16.2.1

1 kritisch

InDesign

16.0 und älter

16.2.1

3 kritisch

Magento

2.4.2 und älter

2.4.2-p1

1 hoch, 5 mittel

Magento

2.3.6-p1 und älter

2.3.7

"

Media Encoder

15.1 und älter

15.2

1 hoch

Medium (Oculus)

2.4.5.331 und älter

2.4.5.332

1 kritisch

 

PC-WELT Marktplatz

2586120