2494550

Kritische Lücken in Acrobat und Photoshop geschlossen

19.03.2020 | 09:47 Uhr | Frank Ziemann

Adobe hat Sicherheits-Updates für Acrobat und Reader, Photoshop, ColdFusion, Bridge, Experience Manager und Genuine Integrity Service bereitgestellt. Sie beseitigen etliche Schwachstellen, die zum Teil als kritisch gelten.

Adobe hat seinen Patch Day in diesem Monat um eine Woche verschoben. Dafür ist er recht umfangreich geraten. In den PDF-Werkzeugen Acrobat und Acrobat Reader sowie in Bridge, Cold Fusion und Photoshop hat Adobe jeweils mehrere Sicherheitslücken geschlossen, die teilweise als kritisch eingestuft sind. Hinzu kommende wichtige Updates für Experience Manager und den Genuine Integrity Service.

In den PDF-Tools Acrobat und Reader hat Adobe insgesamt 13 Sicherheitslücken geschlossen. Darunter sind zehn Schwachstellen, die Adobe als kritisch einstuft. Sie könnten ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Bei der als hohes Risiko geltenden Lücke CVE-2020-3803 geht es hingegen einmal mehr um DLL-Hijacking. Ein Angreifer, dem es gelingt der Software eine manipulierte Programmbibliothek unterzuschieben, könnte sich höhere Berechtigungen verschaffen.

Promotion

Norton 360 - aktuell mit bis zu über 60% Rabatt

Bei alltäglichen Online-Aktivitäten wie Online-Banking, Shopping und Surfen könnten Ihre Daten abgegriffen werden, wodurch Sie anfälliger für Cyberkriminalität werden. In der vernetzten Welt von heute benötigen Sie mehr als nur Virenschutz. Norton 360 bietet Ihnen All-In-One-Schutz für Ihre Geräte und Online-Privatsphäre.

Hochmoderner Geräteschutz vor Viren, Phishing und anderen Online-Bedrohungen sowie ein VPN für Ihre Online-Privatsphäre, ein Passwort-Manager und vieles mehr – in einer einzigen Lösung.

Zu den Norton Security Angeboten bei Norton Deutschland

Zu den Norton Security Angeboten bei Norton Österreich

Alle Schwachstellen sind durch externe Sicherheitsforscher entdeckt und an Adobe gemeldet worden. Abhilfe schaffen die neuen Versionen Acrobat DC und Acrobat Reader DC 2020.006.20042, Acrobat und Reader 2017 2017.011.30166 sowie Acrobat und Reader 2015 2015.006.30518, jeweils für Windows und macOS.

In Photoshop CC 2019 bis einschließlich Version 20.0.8 sowie Photoshop 2020 bis einschließlich Version 21.1 hat Adobe insgesamt 22 Sicherheitslücken beseitigt. Der Hersteller stuft 16 dieser Lücken als kritisch ein, da ein Angreifer, der eine davon ausnutzt, beliebigen Code einschleusen und ausführen könnte. Auch alle Photoshop-Schwachstellen sind durch Dritte entdeckt worden. In Photoshop CC 2019 Version 20.0.9 sowie Photoshop 2020 Version 21.1.1, jeweils für Windows und macOS, hat Adobe diese Lücken gestopft.

In ColdFusion 2016 bis Update 13 sowie ColdFusion 2018 Update 7 für alle Plattformen hat Wang Cheng, Sicherheitsexperte bei Venustech ADLab, zwei Schwachstellen entdeckt, die Adobe als kritisch einstuft. In einem Fall könnte ein Angreifer Dateien im Installationsverzeichnis von ColdFusion auslesen. Die zweite Lücke erlubt es einem Angreifer beliebige Dateien auszuführen, die im Hauptverzeichnis des Webservers oder in dessen Unterzeichnissen liegen. Abhilfe schaffen ColdFusion 2016 Update 14 sowie ColdFusion 2018 Update 8.

Adobe Bridge 10.0 für Windows weist zwei als kritisch eingestufte Sicherheitslücken auf. Adobe hat diese in Bridge 10.0.3 beseitigt. Die neue Version ist auch für macOS erhältlich.

Adobe Experience Manager (AEM) 6.1 bis 6.5 ist anfällig für gefälschte Server-seitige Aufrufe (Server-side request forgery, SSRF), durch die ein Angreifer Zugriff aud vertrauliche Informationen erlangen kann. Für AEM 6.3 gibt es ein Fix Pack, für AEM 6.4 sowie 6.5 ein Service Pack. Die Nutzer der älteren Versionen verweist Adobe an seinen Kundendienst.

Adobe Lizenzprüfdienst Genuine Integrity Service bis einschließlich Version 6.4 für Windows enthält eine Schwachstelle, die durch unsichere Dateizugriffsberechtigungen eine lokale Rechteausweitung ermöglicht. Das Problem ist mit Vesion 6.6 behoben. Die Software enthält eine automatische Update-Funktion, die bei bestehender Internet-Verbindung eine Aktualisierung durchführt.

Die aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers.


PC-WELT Marktplatz

2494550