Am August-Patchday von Adobe meldet der Hersteller teils kritische Sicherheitslücken in seiner Online-Shop-Software Commerce und Magento Open Source sowie Acrobat und Reader und weiterer Kreativ-Software. Aktualisierte Pakete stehen bereit, um die Schwachstellen auszubessern.
Aufgrund zweier Sicherheitslücken könnten bösartige Akteure ihre Rechte ausweiten, was Adobe als kritisch einstuft (CVE-2022-34255, CVSS 8.3, hoch; CVE-2022-34256, CVSS 8.2, hoch). Eine letzte Schwachstelle erlaubt das Umgehen von Sicherheitsfunktionen (CVE-2022-34259, CVSS 5.3, mittel).
Zudem hat Adobe Sicherheitsupdates für Adobe Acrobat und Reader für macOS und Windows veröffentlicht, die sieben kritische bis wichtige sicherheitsrelevante Fehler korrigieren. Angreifer könnten die Schwachstellen zum Einschmuggeln von bösartigem Code oder zum unbefugten Lesen von Speicherbereichen missbrauchen. Die Fehler sind in den Versionen Acrobat und Reader DC 22.002.20191, Acrobat und Reader 2020 20.005.30381 sowie Acrobat und Reader 2017 17.012.30262 für macOS und Windows behoben.
Mit Adobe Illustrator 2021 25.4.7 sowie Illustrator 2022 26.4 schließt das Unternehmen vier Sicherheitslücken, von denen zwei als kritisch gelten und das Ausführen von untergeschobenem Code ermöglichen. Die Versionen Adobe FrameMaker v15.0.8 (2019) sowie v16.0.4 (2020) dichten hingegen sechs Lecks ab, von denen fünf ein kritisches Risiko darstellen. Schließlich hat sich in Versionen vor Adobe Premiere Elements 2022 (Version 20.0 20220702.Git.main.e4f8578) für macOS und Windows eine kritische Schwachstelle befunden, die die aktuelle Fassung ausbessert.
Die Übersicht der aktualisierten Produkte listet Adobe auf seiner Webseite auf. Dort finden sich auch weitere Details, wie etwa Administratoren die Aktualisierungen in verwalteten Umgebungen verteilen können. Insbesondere die Online-Shop-Systeme sollten IT-Verantwortliche schleunigst auf aktuellen Stand hieven. Nutzer und Administratoren der Kreativ-Software sollten ebenfalls nicht zögern, die bereitstehenden Aktualisierungen anzuwenden.
Quelle: heise
Verwundbare Online-Shop-Systeme
Sieben der Lücken betreffen Adobe Commerce sowie Magento Open Source vor den Versionen 2.3.7-p4, 2.4.3-p3, 2.4.4-p1, 2.4.5. Eine XML-Injection-Schwachstelle, die das Ausführen von eingeschmuggeltem Schadcode erlaubt, stuft der Hersteller als kritisch ein (CVE-2022-34253, CVSS 9.1, Risiko "kritisch"). Drei weitere Sicherheitslücken erlauben Angreifern das Einschleusen beliebigen Codes. Deren Schweregrad reicht von kritisch bis moderat, teils abweichend von der CVSS-Einstufung (CVE-2022-34254, CVSS 8.5, hoch; CVE-2022-34257, CVSS 6.1, mittel; CVE-2022-34258, CVSS 3.5, niedrig).Aufgrund zweier Sicherheitslücken könnten bösartige Akteure ihre Rechte ausweiten, was Adobe als kritisch einstuft (CVE-2022-34255, CVSS 8.3, hoch; CVE-2022-34256, CVSS 8.2, hoch). Eine letzte Schwachstelle erlaubt das Umgehen von Sicherheitsfunktionen (CVE-2022-34259, CVSS 5.3, mittel).
Zudem hat Adobe Sicherheitsupdates für Adobe Acrobat und Reader für macOS und Windows veröffentlicht, die sieben kritische bis wichtige sicherheitsrelevante Fehler korrigieren. Angreifer könnten die Schwachstellen zum Einschmuggeln von bösartigem Code oder zum unbefugten Lesen von Speicherbereichen missbrauchen. Die Fehler sind in den Versionen Acrobat und Reader DC 22.002.20191, Acrobat und Reader 2020 20.005.30381 sowie Acrobat und Reader 2017 17.012.30262 für macOS und Windows behoben.
Mit Adobe Illustrator 2021 25.4.7 sowie Illustrator 2022 26.4 schließt das Unternehmen vier Sicherheitslücken, von denen zwei als kritisch gelten und das Ausführen von untergeschobenem Code ermöglichen. Die Versionen Adobe FrameMaker v15.0.8 (2019) sowie v16.0.4 (2020) dichten hingegen sechs Lecks ab, von denen fünf ein kritisches Risiko darstellen. Schließlich hat sich in Versionen vor Adobe Premiere Elements 2022 (Version 20.0 20220702.Git.main.e4f8578) für macOS und Windows eine kritische Schwachstelle befunden, die die aktuelle Fassung ausbessert.
Die Übersicht der aktualisierten Produkte listet Adobe auf seiner Webseite auf. Dort finden sich auch weitere Details, wie etwa Administratoren die Aktualisierungen in verwalteten Umgebungen verteilen können. Insbesondere die Online-Shop-Systeme sollten IT-Verantwortliche schleunigst auf aktuellen Stand hieven. Nutzer und Administratoren der Kreativ-Software sollten ebenfalls nicht zögern, die bereitstehenden Aktualisierungen anzuwenden.
Quelle: heise