Beim Update-Dienstag am 11. Juli hat Adobe mehrere Sicherheits-Updates veröffentlicht, um 19 teils als kritisch eingestufte Sicherheitslücken zu schließen. Diese betreffen ColdFusion und InDesign. Eine dieser Schwachstellen wird bereits für Angriffe genutzt (siehe Update 20. Juli).
Update 20. Juli:
Adobe hat am 19. Juli ein weiteres Security Bulletin für ColdFusion (APSB23-47) veröffentlicht – bereits das dritte in diesem Monat. Darin dokumentiert der Hersteller drei neue Sicherheitslücken und weist zwei der Lücken als kritisch aus. Eine dieser Schwachstellen (CVE-2023-38204) wird laut Adobe bereits für „begrenzte gezielte Angriffe“ ausgenutzt. Adobe hat neue Updates bereitgestellt, die alle diese Sicherheitslücken beseitigen sollen. Zur Absicherung betroffener Systeme ist es zudem erforderlich, die neueste Java-LTS-Version zu installieren. Aktuell sind das Java 11.0.20 für ColdFusion 2018 und 2021 sowie Java 17.0.8 für ColdFusion 2023, jeweils am 18. Juli erschienen.
| Software | anfällige Version(en) | abgesicherte Version(en) | Schwachstellen | Risiko |
|---|---|---|---|---|
| InDesign | ID17.4.1 und älter | ID17.4.2 | 12 | kritisch |
| ID18.3 und älter | ID18.4 | 12 | kritisch | |
| ColdFusion | 2018 Update 17 und älter | Update 19 | 7 | kritisch |
| 2021 Update 7 und älter | Update 9 | 7 | kritisch | |
| 2023 Update 1 und älter | Update 3 | 7 | kritisch |
Update Ende
Update 18. Juli:
Adobe hat eine weitere Sicherheitslücke in ColdFusion geschlossen. Die Schwachstelle CVE-2023-38203 kann es einem Angreifer ermöglichen, beliebigen Code auszuführen. Die Lücke ist als kritisch eingestuft und für die zugehörigen Updates gibt Adobe die höchste Prioritätsstufe 1 an. Adobe erwähnt weiterhin, für diese Schwachstelle sei PoC-Code (Proof of Concept) in einem Blog veröffentlicht worden. Ob es inzwischen Angriffe gibt, bei denen diese Lücke ausgenutzt wird, geht daraus nicht hervor. Update Ende
Die Desktop-Publishing-Software InDesign weist insgesamt 12 Sicherheitslücken auf, die allesamt durch einen Forscher aus Fortinets FortiGuard Labs entdeckt und gemeldet worden sind. Eine der Lücken (CVE-2023-29308) stuft Adobe als kritisch ein. Ein Angreifer, der diese Schwachstelle nutzt, könnte beliebigen Code ausführen. Die weiteren Sicherheitslücken weist Adobe als hohes Risiko („important“) aus. Anfällig sind InDesign bis einschließlich ID 18.3 sowie ID 17.4.1 für Windows und macOS. Abhilfe schaffen die bereitgestellten Updates auf die Versionen IS 18.4 und ID 17.4.2, denen Adobe die niedrigste Prioritätsstufe 3 zuweist.
▶Die neuesten Sicherheits-Updates
Anders bei ColdFusion: Hier ordnet Adobe den Updates die höchste Prioritätsstufe 1 zu. Es geht um drei Sicherheitslücken, von denen Adobe zwei als kritisch einstuft. Ein Angreifer, der die Schwachstelle CVE-2023-29300 ausnutzt, könnte aus der Ferne Code einschleusen und ausführen. Adobe weist ihr den CVSS-Score 9.8 zu. Die beiden anderen Lücken können es einem Angreifer ermöglichen, Sicherheitsmaßnahmen zu umgehen. Anfällig sind ColdFusion 2018 (bis Update 16), 2021 (bis Update 6) sowie die noch recht neue ColdFusion-Ausgabe 2023.
Um die Lücken zu schließen und Angriffe abzublocken, reicht es jedoch nicht, die verfügbaren Updates aufzuspielen. Vielmehr ist es zudem erforderlich, die aktuellste Java-LTS-Version 17 (derzeit 17.0.7) zu installieren. Die nächsten Java-Updates dürften allerdings bereits in der kommenden Woche folgen. Außerdem sollten Sie Adobes Lockdown Guides für ColdFusion beachten.
Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.