Patchday: Security-Updates von Adobe mit hohen bis kritischen Risikoeinstufungen
Updates für Creative Cloud Desktop Application, ColdFusion, Download Manager, Genuine Service und Media Encoder schließen Lücken von "Important" bis "Critical".
Zum Patch Tuesday im Juli hat Adobe insgesamt 13 Sicherheitslücken aus Creative Cloud Desktop Application, ColdFusion, Download Manager, Genuine Service und Media Encoder beseitigt. Vier Lücken gelten als kritisch, der Schweregrad der übrigen wurde als "hoch" eingestuft. Aktive Exploits der will Adobe bislang nicht beobachtet haben; dennoch sollten Windows, Linux- und macOS-User die jeweils für sie verfügbaren Updates möglichst zeitnah einspielen.
Vier kritische SicherheitslĂĽcken in Windows-Ausgaben
Zwei der kritischen Lücken (CVE-2020-9646 und CVE-2020-9650) betreffen den Adobe Media Encoder unter Windows bis einschließlich Version 14.2. Sie könnten unter bestimmten Voraussetzungen zur Ausführung beliebigen Codes missbraucht werden. Dasselbe Angriffsszenario ermöglicht die kritische Sicherheitslücke CVE-2020-9688 in Version 2.0.0.518 des Download Managers für Windows.
Auch die vierte Lücke mit "Critical"-Einstufung, CVE-2020-9682 in der Creative Cloud Desktop Application bis einschließlich Version 5.1, betrifft auschließlich Windows-Systeme. Angreifer könnten schreibend aufs Dateisystem zugreifen. Details zu den (teils auch für macOS verfügbaren) Software-Updates nennen die Advisories:
- Adobe Media Encoder | APSB20-36
- Adobe Download Manager | APSB20-49
- Adobe Creative Cloud Desktop Application | APSB20-33
Weitere Updates fĂĽr alle Plattformen
Von zwei Sicherheitslücken mit "Important"-Einstufung in Genuine Service bis einschließlich Version 6.6 sind Windows- und macOS-Systeme gleichermaßen betroffen. Über sie könnten Angreifer im Kontext des aktuellen Nutzers ihre Rechte auf verwundbaren Systemen ausweiten (Privilege Escalation).
Die ColdFusion-Updates zum Patchday betreffen alle Plattformen. Sie schützen ColdFusion 2016 bis einschließlich Update 15 und ColdFusion 2018 bis einschließlich Update 9 vor einer möglichen Privilege Escalation.
sddssd
(ovw)