Adobe: Sicherheits-Updates für Acrobat, Reader, Photoshop und weitere Produkte

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35565
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Adobe: Sicherheits-Updates für Acrobat, Reader, Photoshop und weitere Produkte

Beitrag von doelf »

Adobe hat zahlreiche Sicherheitslücken in seinen Produkten Acrobat, Bridge, ColdFusion, Experience Manager, Photoshop, Reader und dem Adobe Genuine Integrity Service geschlossen. Mit 22 größtenteils kritischen Fehlern fällt der Photoshop negativ auf, Acrobat und Reader bringen es auf 17 mehrheitlich kritische Schwachstellen.

In Bridge 10.0 für Windows wurden zwei kritische Fehler gefunden, die sich beide zum Einschleusen von Schadcode missbrauchen lassen. Es handelt sich um einen unkontrollierten Schreibzugriff (CVE-2020-9551) und einen überlaufenden Stapelpuffer (CVE-2020-9552). Behoben wurden die Probleme in Bridge 10.0.3, welches für Windows und macOS angeboten wird. Hinsichtlich der Dringlichkeit gibt sich Adobe gelassen - Stufe 3 bedeutet, dass man die neue Version irgendwann mal einspielen sollte.

Auch in ColdFusion 2016 und 2018 musste Adobe zwei kritische Schwachstellen ausmerzen, betroffen sind alle Versionen bis 2016 Update 13 bzw. 2018 Update 7. CVE-2020-3761 ermöglicht beliebige Lesezugriffe im Installationsverzeichnis von Coldfusion und CVE-2020-3794 führt Code beliebiger Dateien aus, sofern sich diese im Webroot oder einem Unterverzeichnis befinden. Abhilfe schaffen ColdFusion 2016 Update 14 und ColdFusion 2018 Update 8. Die Dringlichkeitsstufe 2 empfiehlt das Einspielen der Updates binnen 30 Tagen.

Beim Experience Manager musste ein hochgefährliches Datenleck (CVE-2020-3769) gestopft werden, betroffen sind die Versionen 6.1 bis 6.5. Das Problem ist eine mögliche Anfragefälschung auf der Serverseite (Server-Side Request Forgery; SSRF), über die ein Angreifer sensible Informationen auslesen kann. Für Nutzer der Versionen 6.1 bis 6.3 wurde ein Cumulative Fix Pack 6.3.3.8 bereit gestellt, für die neueren Versionen gibt es den Service Pack 6.4.8.0 und Service Pack 6.5.4.0. Die Aktualisierung sollte binnen 30 Tagen erfolgen.

Mit 22 Sicherheitslücken, darunter 16 kritische Fehler, stechen Photoshop CC 2019 20.0.8 und Photoshop 2020 21.1 für Windows und macOS hervor. Zu sieben kritische Speichermanipulationen (CVE-2020-3784, CVE-2020-3785, CVE-2020-3786, CVE-2020-3787, CVE-2020-3788, CVE-2020-3789 und CVE-2020-3790) gesellen sich sechs kritische Pufferfehler (CVE-2020-3770, CVE-2020-3772, CVE-2020-3774, CVE-2020-3775, CVE-2020-3776 und CVE-2020-3780), zwei unkontrollierte Schreibzugriffe (CVE-2020-3773 und CVE-2020-3779) und eine Stapelmanipulation (CVE-2020-3783), die allesamt das Einschleusen von Schadcode ermöglichen. Dazu kommen sechs gefährliche Datenlecks (CVE-2020-3771, CVE-2020-3777, CVE-2020-3778, CVE-2020-3781, CVE-2020-3782 und CVE-2020-3791) in Form unkontrollierter Lesezugriffe. Dass Adobe dennoch nur die Prioritätsstufe 3 verhängt hat, erscheint uns verwunderlich. Schließlich lassen sich die betroffenen Produkte binnen Sekunden über ihre integrierte Update-Funktion aktualisieren.

Acrobat und Reader bringen es auf 17 Schwachstellen, von denen zwölf als kritisch kategorisiert wurden. Sieben Zugriffe auf bereits gelöschte Objekte (CVE-2020-3743, CVE-2020-3745, CVE-2020-3746, CVE-2020-3748, CVE-2020-3749, CVE-2020-3750 und CVE-2020-3751), zwei Pufferfehler (CVE-2020-3752 und CVE-2020-3754) und ein Stapelüberlauf (CVE-2020-3742) stellen potentielle Einfallstore für Schadcode dar, während zwei Rechteausweitungen (CVE-2020-3762 und CVE-2020-3763) in unkontrollierten Schreibzugriffen münden. Als gefährlich wertet Adobe drei unkontrollierte Lesezugriffe (CVE-2020-3744, CVE-2020-3747 und CVE-2020-3755) und zwei Speicherlecks (CVE-2020-3753 und CVE-2020-3756) bergen ein moderates Risiko. Betroffen sind die Versionen bis 2020.006.20034, 2017.011.30158 bzw. 2015.006.30510 für Windows und macOS, als sicher gelten die Versionen 2020.006.20042, 2020.006.20042 und 2015.006.30518. Die Updates vom Acrobat für Windows oder macOS bzw. Reader für Windows oder macOS sollten betroffene Nutzer binnen 30 Tagen installieren.

Beim Adobe Genuine Integrity Service 6.4 für Windows wurde eine gefährliche Rechteausweitung (CVE-2020-3766) beseitigt. Das Problem, welches auf unsicheren Dateiberechtigungen beruht, wurde in der Version 6.6 der Software korrigiert. Die Dringlichkeitsstufe 3 ist hierbei nebensächlich, da sich der Genuine Integrity Service selbstständig aktualisiert.

Quelle:
https://helpx.adobe.com/security.html
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten