Updates für MS Office, Paint 3D und Autodesk-Software beheben Schwachstellen
Updates für Software von Microsoft und für diverse Autodesk-Software wie etwa AutoCAD beseitigen – aus Autodesks FBX SDK stammende – Sicherheitslücken.
(Bild: silvabom/Shutterstock.com)
Microsoft und Autodesk haben Security-Updates für Software veröffentlicht, die auf die Programmbibliothek Autodesk FBX zugreift. Von Microsoft gibt es Aktualisierungen für die Windows 10-spezifische "Paint"-Neuauflage Paint 3D, für Office 365 ProPlus (beziehungsweise Microsoft 365 ProPlus) sowie für die 32- und 64-Bit-Varianten von Office 2016 Click-to-Run (C2R) und Office 2019. Autodesk hat Update-Hinweise zum FBX SDK sowie zu AutoCAD, Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Flame, Infraworks und Navisworks veröffentlicht.
FBX Software Development Kit als Übeltäter
Die insgesamt sechs geschlossenen Sicherheitslücken stammen ursprünglich aus dem (mittlerweile ebenfalls aktualisierten) FBX Software Development Kit von Autodesk, mit dem die Programmbibliothek erstellt wurde. Hiervon betroffen sind alle FBX-SDK-Versionen bis einschließlich 2020.0 – und somit potenziell auch Software-Projekte, die diese SDK-Versionen nutzen.
Laut Microsofts Security Advisory ADV200004 hätten Angreifer die Lücken aus der Ferne missbrauchen können, um sich dieselben Zugriffsrechtechte auf das jeweilige System zu verschaffen wie der aktuell angemeldete Nutzer. Dazu hätten sie den Nutzer laut Microsoft zunächst dazu bringen müssen, eine an ihn gesendete "speziell präparierte Datei mit 3D-Inhalten" in einem der verwundbaren Programme zu öffnen.
Autodesk hat ein eigenes, ausführliches Advisory zu den Sicherheitslücken im SDK veröffentlicht, das über die Rechteausweitung hinaus auch Denial-of-Service-Angriffe sowie das Ausführen beliebigen Programmcode (Remote Code Execution) als mögliche Folgen von Exploits der Sicherheitslücken mit den CVE-Kennungen CVE-2020-7080, CVE-2020-7081, CVE-2020-7082, CVE-2020-7083, CVE-2020-7084 und CVE-2020-7085 nennt.
Software und SDK aktualisieren
Microsoft stuft die außerplanmäßigen Updates als "wichtig" ein; Nutzer sollten die jeweilige Software also möglichst zeitnah updaten. Die Download-Links nebst weiterführenden Informationen sind Microsofts Advisory sowie der folgenden Übersicht zu entnehmen:
Auch Autodesk stuft den Schweregrad der Lücken in ihrer Gesamtheit als hoch ein. Das Unternehmen nennt folgende verwundbare Produkte und abgesicherte Versionen:
- FBX-SDK: Verwundbar bis inkl. 2019.5, Update auf 2020
- Maya: Verwundbar bis inkl. 2019, Update auf 2020
- Motion Builder: Verwundbar bis inkl. 2019, Update auf 2020
- Mudbox: Verwundbar bis inkl. 2019, Update auf 2020
- 3ds Max: Verwundbar bis inkl. 2020, Update auf 2021
- Fusion: Verwundbar bis inkl. ATF 8, Update auf ATF 9
- Revit: Verwundbar bis inkl. 2020, Update auf 2021
- Flame: Verwundbar bis inkl. 2019, Update auf 2020.2
- Infraworks: Verwundbar bis inkl. 2020, Update auf 2021
- Navisworks: Verwundbar bis inkl. 2019 Update 4, Update auf 2019 Update 5 / 2020 Update 2 / 2021
- Autodesk AutoCAD: Verwundbar bis inkl. 2019, Update auf 2019.5 (FBX-SDK wurde in Version 2020 entfernt)
Entwickler finden das aktualisierte SDK auf der FBX-Website. Die Updates für die übrigen Produkte können eingeloggte Autodesk-Kunden über accounts.autodesk.com beziehen. (ovw)
