Adobe räumt auf: Der größte Patch betrifft Adobe Experience Manager (AEM) Versionen 6.5.5.0, 6.4.8.1, 6.3.3.8 und früher sowie 6.2 SP1-CFP20 und früher. Versionen des AEM Forms-Zusatzpakets Service Pack 5 und früher sind ebenfalls betroffen.

Fünf kritische Schwachstellen, einschließlich reflektierter und gespeicherter Cross-Site-Scripting-Probleme, wurden in AEM behoben. Die Schwachstellen werden als CVE-2020-9732, CVE-2020-9734, CVE-2020-9740, CVE-2020-9741 und CVE-2020-9742 verfolgt.  Zwei der Sicherheitsprobleme, CVE-2020-9732 und CVE-2020-9734, beziehen sich speziell auf das Service Pack Forms. Jede Sicherheitslücke kann, wenn sie nicht behoben wird, zu einer willkürlichen JavaScript-Ausführung im Browser führen.

Sechs weitere, als wichtig erachtete Fehler wurden ebenfalls in der AEM behoben. CVE-2020-9733 wird als „Ausführung mit unnötigen Privilegien“ beschrieben, die bei Missbrauch zur Offenlegung von Informationen führen kann, während es sich bei CVE-2020-9743 um eine browser-basierte, willkürliche HTML-Injektions-Schwachstelle handelt.

Darüber hinaus sind CVE-2020-9735, CVE-2020-9736, CVE-2020-9737 und CVE-2020-9738 Sicherheitslücken beim Cross-Site-Scripting gespeichert, die zu einer willkürlichen JavaScript-Ausführung in einem Browser führen können. Adobe hat außerdem eine Reihe von Software-Abhängigkeiten aktualisiert, darunter Handlebars.js, Lodash.js, Log4j und Dom4j.

In der aktuellen Sicherheitsrunde hat der Software-Riese zudem insgesamt fünf Sicherheitslücken in Adobe InDesign geschlossen. Die Fehler, die die Versionen 15.1.1 und darunter betreffen, „könnten zur Ausführung von beliebigem Code im Kontext des aktuellen Benutzers führen“, so Adobe. Jedes Sicherheitsproblem – CVE-2020-9727, CVE-2020-9728, CVE-2020-9729, CVE-2020-9730 und CVE-2020-9731 – wird als Speicherfehler beschrieben.

Adobe Framemaker hat ebenfalls ein Sicherheitsupdate erhalten. Zwei kritische Schwachstellen, ein Problem beim Lesen und stapelbasierten Pufferüberlauf (CVE-2020-9726, CVE-2020-9725), könnten bei Ausnutzung zu beliebiger Codeausführung führen.

„Zwar ist heute keine der in Adobes Version aufgedeckten Schwachstellen bekannt, dass sie aktiv angegriffen werden, doch sollten alle Patches auf Systemen, auf denen diese Produkte installiert sind, vorrangig behandelt werden“, so Jimmy Graham, Senior Director of Product Management bei Qualys.

Der Technikgigant dankte den Forschern von Trend Micro und Fortinets FortiGuard Labs für die Offenlegung einiger der Sicherheitsprobleme. Der letzte Sicherheitspatch von Adobe, der im September veröffentlicht wurde, behebt 26 kritische und wichtige Fehler in Acrobat und Reader. Insgesamt konnten 11 in Angriffsketten zur entfernten Codeausführung verwendet werden.

Adobe Flash ist seit vielen Jahren umstritten. Microsoft, Adobe, Apple, Facebook, Google und Mozilla beabsichtigen, die Unterstützung für die Software bis Ende 2020 zu beenden, und Anfang dieser Woche hat Microsoft seinen Zeitplan für die Entfernung der Flash-Unterstützung für Microsoft Edge und Internet Explorer 11 klargestellt. Nach diesem Zeitpunkt wird Adobe auch keine Sicherheitsfixes mehr für Flash herausgeben.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago