Beim Patch Day im Juni hat Adobe gegenüber dem Vormonat noch einmal deutlich zugelegt und mehr als dreimal so viele Lücken gestopft wie Microsoft. Es gibt Sicherheits-Updates für zehn Produktfamilien, um 166 überwiegend als hohes Risiko eingestufte Lücken zu schließen. Anfällig sind Acrobat Android, Audition, ColdFusion, Commerce & Magento, Creative Cloud Desktop, Experience Manager, Framemaker Publishing Server, Media Encoder, Photoshop und Substance 3D Stager. Angriffe, bei denen eine der Sicherheitslücken ausgenutzt würde, sind bislang nicht bekannt. Adobe weist daher für alle Updates die niedrigste Dringlichkeitsstufe 3 aus.
Für die Rekordzahl an geschlossenen Sicherheitslücken nahezu allein verantwortlich ist Adobes Experience Manager (AEM), auf den 144 Schwachstellen entfallen. Die beiden Sicherheitsforscher Lorenzo Pirondini und Jim Green haben jeweils mehrere Dutzend Lücken gefunden und an Adobe gemeldet. Es handelt sich bei fast allen Schwachstellen um einfache XSS-Lücken (cross-site scripting), die es erlauben, beliebigen Code auszuführen. Sie sind als hohes Risiko eingestuft. In den zwei verbleibenden Fällen geht um das Umgehen von Schutzmaßnahmen. Während Adobe CVE-2024-26029 als kritisch einstuft, gilt CVE-2024-36226 nur als mittleres Risiko. Nutzer des AEM Cloud Service müssen sich um nichts kümmern. Für AEM 6.5 gibt es ein Update. Wer noch eine ältere AEM-Version (6.4, 6.3, 6.2) einsetzt, wird aufgefordert, sich an den Adobe Kundendienst zu wenden.
▶Die neuesten Sicherheits-Updates
Mit immerhin zehn beseitigten Schwachstellen folgt die Shop-Software Commerce mit ihrer Open-Source-Schwester Magento. Hier sind sieben als kritisch ausgewiesene Sicherheitslücken zu verzeichnen. Wie bei AEM kommen viele Schwachstellen durch unzureichende Prüfung von Benutzereingaben oder anderweitig übergebenen Daten zustande. Das Security Bulletin listet neben den in der unten stehenden Tabelle aufgeführten Versionen noch weitere, für die es im Rahmen eines erweiterten Support-Programms auch noch Updates gibt.
Cold Fusion und der Framemaker Publishing Server weisen je zwei gestopfte Sicherheitslücken auf. Die in Cold Fusion 2023 und 2021 gelten als hohes Risiko, Im Framemaker Publishing Server hat Adobe hingegen zwei als kritisch eingestufte Lücken gestopft.
Photoshop 2023 und 2024 für Windows und macOS weist eine als kritisch ausgewiesene Schwachstelle auf. Ein Angreifer könnte beliebigen Code einschleusen und ausführen. Bei Substance 3D Stager sieht es ganz ähnlich aus.
Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.
Produktanfällige Version(en)abgesicherte VersionSchwachstellenRisikoAcrobat Android24.4.2.33155 und älter24.5.0.336942hochAudition24.2 und älter24.4.12hochAudition23.6.4 und älter23.6.62hochColdFusion 2023Update 7 und älterUpdate 82hochColdFusion 2021Update 13 und älterUpdate 142hochCommerce & Magento Open Source2.4.7 und älter2.4.7-p110kritisch2.4.6-p5 und älter2.4.6-p610kritisch2.4.5-p7 und älter2.4.5-p810kritisch2.4.4-p8 und älter2.4.4-p910kritischCreative Cloud Desktop6.1.0.587 und älter6.2.0.5541kritischExperience Manager6.5.20.0 und älter6.5.21.0144kritischCloud ServiceRelease 2024.5144kritischFramemaker Publishing Server2022.2 und älter2022.32kritisch2020 Update 3 und älter2020 Update 42kritischMedia Encoder24.3 und älter24.4.11hoch23.6.5 und älter23.6.61hochPhotoshop 202425.7 und älter25.91kritischPhotoshop 202324.7.3 und älter24.7.41kritischSubstance 3D Stager2.1.4 und älter3.0.21kritischAdobe Updates Juni 2024
Android, Business, MacOS, Security Software and Services, Windows