Patchday: Adobe schließt mehr als 160 Sicherheitslücken in Acrobat & Co.
Mehrere Schwachstellen in Anwendungen von Adobe können als Einfallstor für Angreifer dienen. Sicherheitsupdates stehen bereit.
(Bild: Erstellt mit KI in Bing Image Creator durch heise online / dmk)
Adobe schützt Acrobat, Animate, Connect, Experience Manager, InDesign, Illustrator, Media Encoder, Substance 3D Modeler, Substance 3D Painter und Substance 3D Sampler vor möglichen Attacken. Insgesamt hat der Softwarehersteller mehr als 160 Schwachstellen mit Updates für die Produkte geschlossen.
Unzählige Sicherheitslücken
Der Großteil der Lücken findet sich in Experience Manager. Aufgrund von unzureichenden Prüfungen von Eingaben können Angreifer Schadcode ausführen (CVE-2024-43711, Risiko "hoch"). Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad "mittel" eingestuft, Angreifer können Stored-XXS-Attacken dadurch ausführen.
Davon sollen alle Plattformen bedroht sein, die die Software unterstützt. Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben Cloud Service Release 2024.11 und 6.5.22 gelöst zu haben.
Videos by heise
Durch mehrere Lücken (zum Beispiel CVE-2024-49530, "hoch") in Acrobat und Reader können bösartige Akteure ebenfalls Schadcode auf Systeme verfrachten. Das betrifft die PDF-Programme für macOS und Windows. Das Gleiche gilt auch für Animate.
Außerdem können Attacken auf InDesign zu Speicherfehlern führen. Das löst überwiegend DoS-Zustände aus, legt also die Software lahm. Oft kann auf diesem Weg aber auch Schadcode auf Systeme gelangen. Die verbleibenden Lücken in den anderen Anwendungen stuft Adobe größtenteils als "kritisch" ein, weil es dadurch zur Ausführung von Schadcode kommen kann. In so einem Fall gelten Systeme generell als vollständig kompromittiert.
Weitere Informationen zu den betroffenen Versionen und den Sicherheitspatches finden sich in den verlinkten Warnmeldungen:
- Acrobat und Reader
- Animate
- Connect[Link auf https://helpx.adobe.com/security/products/experience-manager/apsb24-69.html]
- Experience Manager
- Illustrator
- InDesign
- Media Encoder
- Substance 3D Modeler
- Substance 3D Painter
- Substance 3D Sampler
Am Patchday im November hatte Adobe großteils als hochriskant eingestufte Sicherheitslücken in mehreren Programmen ausgebessert. Es waren jedoch bei weitem nicht so viele wie die rund 160 Lücken, die der Hersteller jetzt im Dezember mit Softwareflicken korrigiert.
(des)
