Adobe: "Photoshop kein Ziel für Angreifer"

"Das reale Risiko für Anwender rechtfertigt keine speziellen Security-Updates." So erklärt Adobe seine Politik, kritische Sicherheitslücken in den Programmen der Creative Suite nur im Rahmen kostenpflichtiger Upgrades zu stopfen.

Am gestrigen Mittwoch veröffentlichte der Software-Hersteller Sicherheitswarnungen, die auf kritische Lücken in Photoshop, Illustrator und Flash Professional hinwiesen. Als einzigen konkreten Schutz empfahl Adobe jeweils das Upgrade auf die Version CS6, das etwa bei Photoshop über 270 Euro kostet. Die Lücken können mit speziell präparierte Dateien ausgenutzt werden, die in Photoshop oder Illustrator geöffnet ein System mit Spionage-Software infizieren.

Von heise Security auf das Fehlen kostenloser Schutzmöglichkeiten etwa für Nutzer von Photoshop CS5.x angesprochen, antwortete Adobe mit folgender Stellungnahme:

While Adobe did resolve the vulnerabilities [..] in the Adobe Photoshop CS6 major release, no dot release was scheduled or released for Adobe Photoshop CS5 or CS5.5. The team did not believe the real-world risk to customers warranted an out-of-band release to resolve these issues. The security bulletin for Photoshop is rated as a Priority 3 update, indicating that it is a product that has historically not been a target for attackers, and in this case we are not aware of any exploits targeting the issues fixed. …

Frei übersetzt heißt das: Weil sowieso niemand gezielt Photoshop-Anwender angreift, lohnt es sich nicht, dafür spezielle Sicherheits-Updates bereitzustellen. Allerdings: Die regelmäßigen Berichte über gezielte Attacken beispielsweise zur Industrie-Spionage zeichnen ein anderes Bild. Glaubt man diesen Berichten, werden dabei sehr wohl gezielt Sicherheitslücken auch in weniger weit verbreiteter Software ausgenutzt, um Systeme zu kapern. Allerdings kommen die Details zu solchen Vorfällen nur selten ans Licht der Öffentlichkeit.

Die von Adobe aufgestellte Behauptung, dass man von keinen Exploits zu diesen Lücken wisse, ist jedenfalls insoweit falsch, als dass Adobe selbst auf eine Seite verweist, die einen Demo-Exploit für die TIFF-Lücke in Photoshop referenziert. Gemeint ist wohl, dass bislang – zumindest nach Adobes Kenntnisstand – noch niemand durch solche Exploits zu Schaden gekommen ist. (ju)