Beim Update-Dienstag am 14. März hat Adobe Updates für acht Produkte veröffentlicht. Sie beheben insgesamt 105 Schwachstellen in ColdFusion, Commerce und Magento, Creative Cloud, Dimension, Experience Manager (AEM), Illustrator, Photoshop und Substance 3D Stager. Eine der ColdFusion-Lücken wird bereits für Angriffe genutzt. Der ZDI-Forscher Mat Powell hat wieder einmal einen großen Anteil an der Entdeckung der Schwachstellen.
Adobe Updates März 2023 kurz gefasst:
Produktanfällige Version(en)abgesicherte Version(en)Schwach-stellenRisikoColdFusion 2018Update 15 und älterUpdate 163kritisch (ITW)ColdFusion 2021Update 5 und älterUpdate 63kritisch (ITW)Commerce2.4.4-p2 und älter2.4.4-p34kritisch2.4.5-p1 und älter2.4.5-p2, 2.4.64kritischMagento Open Source2.4.4-p2 und älter2.4.4-p34kritisch2.4.5-p1 und älter2.4.5-p2, 2.4.64kritischCreative Cloud5.9.1 und älter5.101kritischDimension3.4.7 und älter3.4.858kritischExperience ManagerCSCS Release 2023.118hoch6.5.15.0 und älter6.5.16.018hochIllustrator 202327.2.0 und älter27.3.15kritischPhotoshop 202223.5.3 und älter23.5.41kritischPhotoshop 202324.1.1 und älter24.2.11kritischSubstance 3D Stager2.0.0 und älter2.0.116kritischkritisch (ITW): Exploit-Code ‘in the wild’ – Sicherheitslücke wird für Angriffe ausgenutzt
Der mit Abstand dickste Brocken ist das Update für Dimension. In der 3D-Grafikdesign-Software stecken bis zur Version 3.4.7 für Windows und macOS 58 Sicherheitslücken, von denen Adobe 40 als kritisch einstuft. Mat Powell hat allein 39 davon entdeckt. Abhilfe schafft das Update auf die neue Version 3.4.8.
In ColdFusion 2018 und 2021 hat Adobe drei Schwachstellen beseitigt, zwei davon weist der Hersteller als kritisch aus. Die Sicherheitslücke CVE-2023-26360 wird laut Adobe bereits für begrenzte Angriffe ausgenutzt. Unzureichende Zugriffskontrollen ermöglichen es einem Angreifer, beliebigen Code auszuführen. Für beide Versionen sind Updates erhältlich. Zusätzlich müssen Sie die aktuelle Java-Version (etwa JDK 11.0.18) installieren, damit der Server abgesichert ist.
▶Die neuesten Sicherheits-Updates
In der Shop-Lösung Commerce und dessen quelloffener Basis Magento hat Adobe vier Sicherheitslücken geschlossen. Als kritisch ist die Schwachstelle CVE-2023-22247 ausgewiesen. Sie erlaubt über eine XML-Injektion beliebige Lesezugriffe auf das Dateisystem. Ein Angreifer könnte so etwa Kundendaten herunterladen.
Vier der fünf in Illustrator 2023 beseitigten Lücken stuft Adobe als kritisch ein. In Photoshop 2022 und 2023 musste der Hersteller nur eine kritische Lücke stopfen. Die meisten dieser Lücken lassen sich mit speziell präparierten Bilddateien ausnutzen, um Code einzuschleusen und mit Benutzerrechten auszuführen.
In Substance 3D Stager bis Version 2.0.0 hat Mat Powell 16 Schwachstellen entdeckt, von denen Adobe 12 als kritisch einstuft. Hinzu kommen noch drei Lücken in Sketchup, davon zwei als kritisch ausgewiesene. Mit dem Update auf Substance 3D Stager 2.0.1 sind alle diese Lücken beseitigt.
Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.
Business, Security