Adobe schließt 0-Day-Lücke in PDF-Werkzeugen

Adobe hat Sicherheits-Updates für Acrobat, Illustrator, Photoshop und weitere Programme bereitgestellt. Die Updates beseitigen 50 Sicherheitslücken.

Adobes Beitrag zum Patch Day im Februar kann sich sehen lassen. Der Hersteller beseitigt insgesamt 50 Schwachstellen in sechs Produktfamilien: Acrobat und Acrobat Reader, Dreamweaver, Photoshop , Illustrator , Animate und Magento. Mehr als die Hälfte dieser Sicherheitslücken ist als kritisch ausgewiesen. Allein in den PDF-Tools Acrobat und Acrobat Reader hat Adobe 23 Lücken beseitigt, davon sind 17 als kritisch ausgewiesen. Für CVE-2021-21017 gibt Adobe an, es läge ein Bericht vor, laut dem die Schwachstelle bei Angriffen auf Windows-Nutzer des Acrobat Reader ausgenutzt worden sei. Abhilfe schaffen Updates für die drei Produktgenerationen Acrobat und Reader DC, Acrobat und Reader 2020 sowie Acrobat und Reader 2017, jeweils für Windows und macOS. In Photoshop 2020 bis einschließlich 21.2.4 sowie in Photoshop 2021 bis Version 22.1.1 für Windows und macOS stecken insgesamt fünf als kritisch eingestufte Sicherheitslücken. Alle könnten ausgenutzt werden, um beliebigen Code einzuschleusen und auszuführen. Abgesichert sind Photoshop 2020 Version 21.2.5 sowie Photoshop 2021 Version 22.2. Illustrator 2021 bis einschließlich 25.1 für Windows weist zwei als kritisch ausgewiesene Schwachstellen auf. Ein unterdimensionierter Puffer kann dazu führen, dass eingeschleuster Code ausgeführt wird. Ein Update auf Version 25.2, das für Windows und macOS erhältlich ist, behebt das Problem. Ein ähnlicher Fehler (CVE-2021-21052) steckt auch in Animate 21.0.2 und älter für Windows. Adobe stellt Updates auf Version 21.0.3 für Windows und macOS bereit. Dreamweaver 20.2 und 21.0 für Windows und macOS enthalten die Schwachstelle CVE-2021-21055. Dabei handelt es sich um ein Datenleck, das durch ein unsicheres Suchpfadelement entsteht. Dies erinnert an Lücken, wie sie Adobe im Januar in mehreren Produkten geschlossen hat. In Dreamweaver  20.2.1 und 21.1 ist das Leck gestopft. In seiner Shop-Software Magento für alle unterstützten Plattformen muss Adobe gleich 18 Sicherheitslücken schließen. Davon gelten sieben als kritisch. Im ungünstigsten Fall kann beliebiger Code mit den Berechtigungen des aktuellen Prozesses ausgeführt werden. Für die anfälligen Versionen stehen Updates bereit, um die Lücken zu schließen.

Produkt

anfällige Version(en)

abgesicherte Version(en)

Acrobat DC

2020.009.20074 und älter

2020.012.20041

Acrobat Reader DC

2020.009.20074 und älter

2020.012.20041

Acrobat 2020

2020.001.30002 und älter

2020.001.30005

Acrobat Reader 2020

2020.001.30002 und älter

2020.001.30005

Acrobat 2017

2017.011.30171 und älter

2017.011.30175

Acrobat Reader 2017

2017.011.30171 und älter

2017.011.30175

Photoshop 2020

21.2.4 und älter

21.2.5

Photoshop 2021

22.1.1 und älter

22.2

Illustrator 2021

25.1

25.2

Animate

21.0.2 und älter

21.0.3

Dreamweaver

20.2

20.2.1

Dreamweaver

21.0

21.1

Magento Commerce Magento Open Source

2.4.1 und älter

2.4.2

2.4.0-p1 und älter

2.4.1-p1

2.3.6 und älter

2.3.6-p1

Die aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers .

Leave a comment