Adobe-Patchday: Schadcodeschmuggel in Reader, Illustrator und weiteren möglich

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Im März liefert Adobe am Patchday Sicherheitsupdates für acht Programme. Sie schließen teils von Adobe als kritisch eingestufte Sicherheitslücken. Angreifer können dadurch etwa Schadcode einschmuggeln oder ihre Rechte ausweiten.

Die Patchday-Übersicht von Adobe listet die acht Sicherheitsmitteilungen zu den einzelnen Produkten auf. In Adobe Commerce, Commerce B2B und Magento Open Source schließen die Entwickler 19 Sicherheitslücken. Darunter sind mehrere Cross-Site-Scripting-Schwachstellen, von denen eine die Einstufung nach CVSS als kritisches Risiko nur knapp verpasst und die das Ausweiten der Rechte oder die Umgehung von Sicherheitsmaßnahmen ermöglichen. Insgesamt sechs davon stuft Adobe abweichend als kritische Bedrohung ein.

Ähnlich sieht es beim Illustrator aus. Mehrere Schwachstellen erlauben das Einschleusen und Ausführen von beliebigem Code, fünf der sieben Lücken stuft Adobe als kritisch ein. In Acrobat DC, Acrobat Reader DC und Acrobat 2024 klaffen drei Sicherheitslücken, von denen zwei Codeschmuggel erlauben und als kritisch eingestuft wurden. Wer den Substance 3D Stager einsetzt, sollte die Updates zum Schließen der sechs als kritisch geltenden Sicherheitslücken anwenden, durch die Angreifer Schadcode einschmuggeln können.

Adobe: Weitere Updates schließen Sicherheitslücken

Aber auch im Adobe DNG Software Development Kit (SDK) stopfen Softwareupdates teils kritische Lücken, in Adobe Premiere und Premiere Pro gab es lediglich ein kritisches Leck abzudichten. Neun immer noch als „wichtig“ klassifizierte Sicherheitslücken bessert Adobe in Substance 3D Painter aus. Im Adobe Experience Manager (AEM) schließen die Entwickler im März zudem 33 Cross-Site-Scripting-Sicherheitslecks, die jedoch lediglich einen CVSS-Wert von 5.4 erreichen. Adobe stuft die Lücken abweichend von der „mittleren“ Risikobewertung nach CVSS als „wichtig“ ein.

IT-Verantwortliche und Nutzer sowie Nutzerinnen der Adobe-Software sollten die Aktualisierungen zeitnah anwenden. Im Februar hatte Adobe zum Patchday Sicherheitslücken in neun Programmen geschlossen.

(dmk)