Adobe-Patchday: Angreifer können verwundbare Systeme übernehmen
Adobe stopft am März-Patchday teils kritische Sicherheitslücken in sechs Produkten. Sie erlauben unter anderem Codeschmuggel.
(Bild: heise online)
Adobe schließt am Patchday im März mehrere, teils kritische Sicherheitslücken in mehreren Programmen. Das Unternehmen weicht bei der eigenen Einschätzung des Risikos der Lücken jedoch von der Bewertung nach CVSS-Norm ab.
Adobe: Gravierende Sicherheitslücken
In Adobe Bridge klaffen gleich vier Sicherheitslücken. die Angreifern das Ausführen beliebigen Codes oder das Auslesen von Speicherbereichen ermöglicht. In der Sicherheitsmitteilung schreibt Adobe, dass drei Lücken das Ausführen von Schadcode erlauben, die nach CVSS-Wertung als hochriskant gelten. Das Unternehmen schätzt sie jedoch als kritisch ein. Adobe Bridge 14.0.2 und 13.0.6 schließen die Lücken. In Adobe Lightroom für macOS können Angreifer ebenfalls beliebigen Code einschleusen und ausführen, was das Unternehmen als kritisches Risiko verortet – ein CVE-Eintrag oder eine CVSS-Wertung fehlen derzeit noch. Version 7.2 korrigiert diesen Fehler und kann aus dem Apple App Store heruntergeladen werden.
Durch eine Schwachstelle in Adobe Cold Fusion können bösartige Akteure beliebige Dateien aus dem Dateisystem auslesen (CVE-2024-20767, CVSS 8.2, hoch). Von den Entwicklern des Unternehmens wird das als kritischer Bedrohungsgrad gewertet. Cold Fusion 2023 Update 7 sowie 2021 Update 13 schließen die Lücke. Auch in Adobe Premiere Pro für macOS und Windows können Angreifer einen Heap-basierten Pufferüberlauf oder Speicherzugriffe außerhalb vorgesehener Speichergrenzen provozieren und Schadcode einschleusen (CVE-2024-20745, CVE-2024-20746, CVSS 7.8, hoch). Adobe erachtet das Risiko als kritisch und schließt die Lücken mit Updates auf Premiere Pro 24.2.1 sowie 23.6.4.
Adobe Animate 2024 24.0.1 und 2023 23.0.4 für macOS und Windows korrigieren vier sicherheitsrelevante Fehler, von denen einer aufgrund von potenziellen Schreibzugriffen außerhalb der vorgesehenen Speichergrenzen das Ausführen von untergeschobenen Codes erlaubt (CVE-2024-20761, CVSS 7.8, hoch – Adobe-Einstufung: kritisch). In Adobe Experience Manager (AEM) finden sich hingegen zahlreiche Schwachstellen, deren Bedrohungsgrad "mittel" und teils "niedrig" erreicht. AEM Cloud Service Release 2024.03 sowie AEM 6.5.20.0 stopfen die Sicherheitslecks.
Adobes Sicherheitsmeldungen in der Übersicht:
- Security update available for Adobe Experience Manager
- Security update available for Adobe Premiere Pro
- Security update available for Adobe Coldfusion
- Security update available for Adobe Bridge
- Security update available for Adobe Lightroom
- Security update available for Adobe Animate
Zum Februar-Patchday musste Adobe ebenfalls kritische Sicherheitslücken in diversen Produkten stopfen. Davon waren auch die populäreren Programme Acrobat und Reader betroffen.
(dmk)
