Aktualisierungen für Adobe-Software schließen teils kritische Lücken. Nutzer von Illustrator, InDesign und Co. sollten zügig handeln.
Zum Patch-Tuesday gibt es wichtige Adobe-Updates für Windows und macOS, die auch für Nutzer von Magento Open Source relevant sind. Einige der gefixten Lücken sind kritisch und ermöglichen unter anderem Rechteausweitungen durch Angreifer.
Nutzer von Adobe-Software aufgepasst: Für die Produkte Commerce, Illustrator, InCopy, InDesign, Photoshop Elements, Substance 3D Designer und Substance 3D Stager stehen seit dem gestrigen Dienstag Aktualisierungen bereit. Sie beseitigen unter Windows und macOS Sicherheitslücken mit variierenden Schweregraden von „moderate“ bis „critical“. Über Angriffe in freier Wildbahn ist bislang glücklicherweise nichts bekannt.
Höchste Priorität: Adobe Commerce-Websites angreifbar
In seinen Security Advisories gibt Adobe stets Prioritäten von 1 bis 3 an. Diese beschreiben die Wahrscheinlichkeit für Angriffe auf die jeweils betroffene Produkt-Version oder Plattform.
Zum aktuellen Patchday wies das Unternehmen den Adobe-Updates für die E-Commerce-Plattform Commerce (ehemals Magento) und ihr quelloffenes Gegenstück Magento Open Source die höchste Priorität 1 zu. Angreifer könnten die gepatchten Schwachstellen mit CVSS-Scores bis hin zu 9.4 (kritisch) ausnutzen, um Security-Features zu umgehen, beliebigen Code auszuführen und ihre Zugriffsrechte auszuweiten.
Kritische Sicherheitslücken steck(t)en jeweils auch in den Grafikanwendungen Illustrator, InDesign und Substance 3D Designer und in der Texteditor-Software InCopy.
Die jeweils zugewiesene niedrigste Priorität (3) bedeutet zwar ein geringeres Angriffsrisiko auf die Programm-Installationen im Vergleich zu online verfügbaren Commerce-Websites. Zu einem falschen Sicherheitsgefühl sollte dies jedoch nicht verleiten. Denn ohne die aktuellen Adobe-Updates sind auch hier laut Advisories Szenarien von der Schadcode-Ausführung und Rechteausweitung im Kontext des aktuellen Nutzers über Speicherlecks bis hin zum Denial-of-Service denkbar. In letzterem Fall hängt sich die jeweilige Anwendung einfach auf.
Schnell und einfach updaten
Die Übersicht über die aktuellen Adobe-Updates listet sämtliche zum Patch Tuesday erschienen Advisories übersichtlich auf. In ihnen wiederum findet man alle CVE-Nummern nebst Schweregrad der Sicherheitslücken. Außerdem erfährt man, welche Programmversionen verwundbar und welche gegen die Schwachstellen abgesichert wurden.
Die Aktualisierung erfolgt meist bequem aus den Programmen heraus; ebenso einfach lässt sich über die Benutzermenüs die aktuelle Programmversion überprüfen. Es gibt also kaum eine Ausrede, die schützenden Aktualisierungen nicht umgehend einzuspielen.
„Alles transparent“ ist bei Adobe sonst nicht unbedingt: Im vergangenen Jahr kam es unter anderem zu einer Klage des US-Justizministeriums wegen drohender Abo-Fallen und versteckter Kosten. Auch lassen die Nutzungsbedingungen im Hinblick auf Privatsphäre und den Datenschutz offenbar viel zu wünschen übrig.
