Beim Update-Dienstag am 8. August hat Adobe mehrere Sicherheits-Updates veröffentlicht, um 37 teils als kritisch eingestufte Sicherheitslücken zu schließen. Diese betreffen die PDF-Werkzeuge Acrobat und Acrobat Reader, Commerce und Magento, Dimension sowie das XMP Toolkit SDK. Bislang wird keine dieser Schwachstellen für Angriffe genutzt. Adobe weist allen Updates die niedrigste Prioritätsstufe 3 zu.
Adobe Updates August 2023
Produktanfällige Version(en)abgesicherte Version(en)SchwachstellenRisikoAcrobat und Reader DC23.003.20244 und älter23.003.2026930kritischAcrobat und Reader 202020.005.30467 und älter20.005.30514 (Windows)30kritisch20.005.30516 (macOS)Dimension3.4.8 und älter3.4.93kritischCommerce2.4.6-p1 und älter2.4.6-p23kritisch2.4.5-p3 und älter2.4.5-p43kritisch2.4.4-p4 und älter2.4.4-p53kritisch
Magento Open Source2.4.6-p1 und älter2.4.6-p23kritisch2.4.5-p3 und älter2.4.5-p43kritisch2.4.4-p4 und älter2.4.4-p53kritischDimension3.4.9 und älter3.4.103kritischXMP-Toolkit-SDK2022.06 und älter2023.071hoch
Der größte Anteil an den gestopften Lücken entfällt einmal mehr auf Adobes PDF-Tools Acrobat und Acrobat Reader. Insgesamt 30 Schwachstellen haben externe Sicherheitsforscher darin entdeckt und an Adobe gemeldet, meistens via Trend Micro ZDI. Mehr als die Hälfte der Lücken hat allein der ZDI-Forscher Mat Powell aufgespürt. Adobe stuft 15 Schwachstellen als kritisch ein. Ein Angreifer könnte mit speziell präparierten PDF-Dateien Code einschleusen und ausführen. Abhilfe schaffen Updates für Acrobat und Reader DC sowie Acrobat und Reader 2020 (siehe Tabelle).
▶Die neuesten Sicherheits-Updates
Adobes Lösung für Online-Shops heißt schlicht Commerce und basiert auf der weiterhin kostenlos erhältlichen Open-Source-Plattform Magento, die Adobe im Jahr 2018 übernommen hat. Im August hat Adobe drei Sicherheitslücken in beiden Varianten geschlossen. Eine der Schwachstellen (CVE-2023-38208) ist als kritisch eingestuft. Ein angemeldeter Benutzer könnte Betriebssystembefehle injizieren und ausführen. Updates für ältere Commerce-Versionen (2.4.3 und älter) sind nur für Adobe-Kunden erhältlich, die am erweiterten Support-Programm teilnehmen.
▶Adobe beseitigt 0-Day-Lücke in ColdFusion
In der 3D-Grafikdesign-Software Dimension für Windows und macOS hat Mat Powell drei Schwachstellen entdeckt. Adobe stuft zwei der Lücken als kritisch ein. Ein Angreifer könnte mit präparierten Grafikdateien Code einschleusen und ausführen. In seinem XMP Toolkit SDK hat Adobe eine DoS-Lücke (Denial of Service) gestopft.
Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.
Business, Professional Software, Security Software and Services