Patchday: Adobe schließt kritische Lücken - aber nicht in Flash

Angreifer könnten Adobe Experience Manager, Lightroom und Prelude attackieren und Schadcode auf Systemen ausführen. Sicherheitsupdates schaffen Abhilfe. Wer diese Anwendungen nutzt, sollte sie zügig auf den aktuellen Stand bringen.

Die "kritische" Lücke (CVE-2020-24440) in Prelude gefährdet macOS und Windows-Systeme. Auf einem nicht näher beschriebenen Weg (uncontrolled search path) sollen Angreifer in der Lage sein, Schadcode mit den Rechten des Opfers auszuführen.

Verfügt das Opfer über Admin-Rechte, könnten Angreifer die volle Kontrolle über einen verwundbaren Computer erlangen. In einer Warnmeldung schreibt Adobe, dass die Ausgabe 9.0.2 abgesichert ist. Alle vorigen Versionen seien von der Schwachstelle betroffen.

Von der kritischen Lightroom-Lücke (CVE-2020-24447) sind ebenfalls macOS und Windows bedroht. Auch hier kann Schadcode auf Computer gelangen. Lightroom Classic 10.1 ist gegen solche Attacken gerüstet.

Von den Lücken in Experience Manager sind alle Systeme betroffen. Adobe hat mehrere reparierte Versionen veröffentlicht. In einem Beitrag findet man die verwundbaren und abgesicherten Ausgaben.

Angekündigte Updates und Flash

In einer Vorankündigung gibt Adobe Ausblick auf zeitnah anstehende Sicherheitsupdates für Acrobat und Reader. Bislang ist nur klar, welche Versionen betroffen sind. Über die Anzahl und den Schwergrad der Lücken ist bislang nichts bekannt. [UPDATE siehe unterhalb dieser Meldung]

Offensichtlich geht der "beliebte" Flash Player nun ohne weitere Sicherheitspatches in Rente. Wie bereits 2017 angekündigt, beendet Adobe den Support am 31.12.2020. Der Flash Player war jahrelang ein treuer Begleiter in unseren Patchday-Meldungen: Flash, wir werden dich (nicht) vermissen.

[UPDATE, 09.12.2020 16:40]

Mittlerweile hat Adobe die Sicherheitsupdates für verschiedene Acrobat-Reader-Versionen veröffentlicht. Die Patches sind als "wichtig" eingestuft. Die abgesicherten Versionen sind für macOS und Windows erscheinen.

(des)