Adobe behebt Schwachstellen

Adobe räumt auf: Der größte Patch betrifft Adobe Experience Manager (AEM) Versionen 6.5.5.0, 6.4.8.1, 6.3.3.8 und früher sowie 6.2 SP1-CFP20 und früher. Versionen des AEM Forms-Zusatzpakets Service Pack 5 und früher sind ebenfalls betroffen.

Fünf kritische Schwachstellen, einschließlich reflektierter und gespeicherter Cross-Site-Scripting-Probleme, wurden in AEM behoben. Die Schwachstellen werden als CVE-2020-9732, CVE-2020-9734, CVE-2020-9740, CVE-2020-9741 und CVE-2020-9742 verfolgt.  Zwei der Sicherheitsprobleme, CVE-2020-9732 und CVE-2020-9734, beziehen sich speziell auf das Service Pack Forms. Jede Sicherheitslücke kann, wenn sie nicht behoben wird, zu einer willkürlichen JavaScript-Ausführung im Browser führen.

Sechs weitere, als wichtig erachtete Fehler wurden ebenfalls in der AEM behoben. CVE-2020-9733 wird als „Ausführung mit unnötigen Privilegien“ beschrieben, die bei Missbrauch zur Offenlegung von Informationen führen kann, während es sich bei CVE-2020-9743 um eine browser-basierte, willkürliche HTML-Injektions-Schwachstelle handelt.

Darüber hinaus sind CVE-2020-9735, CVE-2020-9736, CVE-2020-9737 und CVE-2020-9738 Sicherheitslücken beim Cross-Site-Scripting gespeichert, die zu einer willkürlichen JavaScript-Ausführung in einem Browser führen können. Adobe hat außerdem eine Reihe von Software-Abhängigkeiten aktualisiert, darunter Handlebars.js, Lodash.js, Log4j und Dom4j.

In der aktuellen Sicherheitsrunde hat der Software-Riese zudem insgesamt fünf Sicherheitslücken in Adobe InDesign geschlossen. Die Fehler, die die Versionen 15.1.1 und darunter betreffen, „könnten zur Ausführung von beliebigem Code im Kontext des aktuellen Benutzers führen“, so Adobe. Jedes Sicherheitsproblem – CVE-2020-9727, CVE-2020-9728, CVE-2020-9729, CVE-2020-9730 und CVE-2020-9731 – wird als Speicherfehler beschrieben.

Adobe Framemaker hat ebenfalls ein Sicherheitsupdate erhalten. Zwei kritische Schwachstellen, ein Problem beim Lesen und stapelbasierten Pufferüberlauf (CVE-2020-9726, CVE-2020-9725), könnten bei Ausnutzung zu beliebiger Codeausführung führen.

„Zwar ist heute keine der in Adobes Version aufgedeckten Schwachstellen bekannt, dass sie aktiv angegriffen werden, doch sollten alle Patches auf Systemen, auf denen diese Produkte installiert sind, vorrangig behandelt werden“, so Jimmy Graham, Senior Director of Product Management bei Qualys.

Der Technikgigant dankte den Forschern von Trend Micro und Fortinets FortiGuard Labs für die Offenlegung einiger der Sicherheitsprobleme. Der letzte Sicherheitspatch von Adobe, der im September veröffentlicht wurde, behebt 26 kritische und wichtige Fehler in Acrobat und Reader. Insgesamt konnten 11 in Angriffsketten zur entfernten Codeausführung verwendet werden.

Adobe Flash ist seit vielen Jahren umstritten. Microsoft, Adobe, Apple, Facebook, Google und Mozilla beabsichtigen, die Unterstützung für die Software bis Ende 2020 zu beenden, und Anfang dieser Woche hat Microsoft seinen Zeitplan für die Entfernung der Flash-Unterstützung für Microsoft Edge und Internet Explorer 11 klargestellt. Nach diesem Zeitpunkt wird Adobe auch keine Sicherheitsfixes mehr für Flash herausgeben.