2520584

Adobe stopft Lücken in ColdFusion und Media Encoder

15.07.2020 | 09:05 Uhr | Frank Ziemann

Adobe hat Sicherheits-Updates für ColdFusion, Media Encoder, Creative Cloud Desktop App, Download Manager und Genuine Service bereitgestellt. Ein Update für den Flash Player beseitigt nur ein paar Bugs.

Adobes Beitrag zum Patch Day im Juli ist vielfältig, aber unspektakulär. Womöglich gibt es auch in diesem Monat wieder einen Nachschlag. Im Flash Player hat Adobe nur Bugs behoben, die nicht sicherheitsrelevant sind. Die neue Version 32.0.0.403 gibt es für alle Plattformen außer für den im Internet Explorer und in Edge (EdgeHTML) integrierten Flash Player. Der Flash Player wird zum Jahresende eingestellt. Er wird im Web kaum noch benötigt – allenfalls für Browser-Spiele.

In ColdFusion 2016 bis einschließlich Update 15 sowie ColdFusion 2018 bis Update 9 hat Adobe zwei Schwachstellen beseitigt. Sie gelten als hohes Risiko: Ein Angreifer könnte sich höhere Rechte verschaffen, weil ColdFusion die korrekte Suchreihenfolge für aufzurufende DLLs (Programmbibliotheken) nicht beachtet. Abhilfe schaffen das Update 16 für ColdFusion 2016 sowie das Update 10 für ColdFusion 2018. Um Server erfolgreich gegen Attacken zu wappnen, muss zudem das aktuelle Java-Update installiert sein.

Die Creative Cloud Desktop App bis einschließlich Version 5.1 weist vier Lücken auf, von denen Adobe eine als kritisch ausweist. Die Schwachstelle CVE-2020-9682 kann ausgenutzt werden, um beliebige Schreibzugriffe auf dem Dateisystem auszuführen. Ein Angreifer könnte Dateien löschen, überschreiben oder neue Dateien anlegen. Version 5.2 schließt diese Lücken.

Im Media Encoder hat Adobe drei Lücken geschlossen. Betroffen sind Versionen bis 14.2, ein Update auf Version 14.3 für Windows und macOS beseitigt die Schwachstellen. Zwei der Lücken könnten genutzt werden, um eingeschleusten Code auszuführen.

Beim Adobe Download Manager 2.0.0.518 kann die Schwachstelle CVE-2020-9688 ausgenutzt werden, um Befehle einzuschleusen und beliebigen Code auszuführen. Version 2.0.0.529 ist nicht mehr dafür anfällig. Den Download Manager kommt mit Flash Player oder Adobe Reader auf den Rechner.

Adobes Lizenzprüfprogramm Genuine Service (oder auch Genuine Integrity Service) weist drei Schwachstellen auf, mit denen sich der aktuelle Benutzer höhere Rechte verschaffen. Das gilt auch für Code, den er unwissentlich ausführt. Anfällig sind Versionen bis 6.6 für Windows und macOS. In der Version 7.1 sind die Lücken geschlossen. Die Software aktualisiert sich automatisch, sofern eine Internet-Verbindung besteht.

Die aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers.


PC-WELT Marktplatz

2520584