2659204

Adobe schließt 10 Framemaker-Lücken

11.05.2022 | 09:35 Uhr | Frank Ziemann

Adobe hat Sicherheits-Updates für fünf Produkte bereitgestellt. Die Updates beseitigen 18 überwiegend als kritisch eingestufte Sicherheitslücken.

Adobe hat auch beim Patch Day im Mai wieder wichtige Sicherheits-Updates bereitgestellt. Der Hersteller beseitigt 18 Sicherheitslücken in fünf Programmen, die er fast alle als kritisch ausgewiesen hat. Betroffen sind Framemaker, InDesign, InCopy, Character Animator und ColdFusion. Matt Powell, Sicherheitsforscher bei Trend Micro ZDI, hat 17 der 18 Schwachstellen entdeckt und an Adobe gemeldet. Laut Adobe wird bislang keine der Lücken für Angriffe genutzt.

In Framemaker 2019 bis Update 8 sowie Framemaker 2020 bis Update 4 für Windows hat Matt Powell zehn Schwachstellen (CVE-2022-28821 bis -28830) gefunden. Neun dieser Lücken stuft Adobe als kritisch ein, da sie es einem Angreifer ermöglichen können, beliebigen Code einzuschleusen und auszuführen. Um die Lücken zu stopfen, hat Adobe Hotfix-Pakete mit korrigierten DLLs (Programmbibliotheken) für die genannten Framemaker-Versionen bereitgestellt. Betroffene Nutzer müssen die ZIP-Datei nach dem Download entpacken, die neuen DLLs selbst in das Installationsverzeichnis kopieren und dabei die alten Dateien überschreiben.

InDesign bis einschließlich der Versionen 16.4.1 und 17.1 für Windows und macOS weist drei kritische Sicherheitslücken (CVE-2022-28831 bis -28833) auf, die Adobe nun geschlossen hat. Alle drei sind geeignet, um beliebigen Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Abhilfe schaffen Updates auf die neuen Versionen InDesign 16.4.2 und 17.2 für Windows und macOS.

▶Die neuesten Sicherheits-Updates

Auch in InCopy bis einschließlich der Versionen 16.4.1 und 17.1 für Windows und macOS hat Matt Powell drei RCE-Lücken (CVE-2022-28834 bis -28836) aufgespürt, die Adobe als kritisch einstuft. Auch hier sind Updates auf die neuen Versionen InDesign 16.4.2 und 17.2 für Windows und macOS die Lösung.

In Character Animator 2021 bis einschließlich Version 4.4.2 sowie Character Animator 2022 bis einschließlich Version 22.3 für Windows und macOS ist nur eine kritische Lücke zu stopfen. Die RCE-Schwachstelle CVE-2022-28819 wird durch Updates auf Character Animator 2021 4.4.7 sowie Character Animator 2022 22.4 beseitigt.

Die einzige nicht durch Matt Powell entdeckte Sicherheitslücke betrifft ColdFusion 2018 bis Update 13 und ColdFusion 2021 bis Version 3. Adobe weist die RCE-Lücke CVE-2022-28818 als hohes Risiko aus. In ColdFusion 2018 Update 14 und ColdFusion 2021 Update 4 hat Adobe die Schwachstelle behoben. Der Hersteller weist zudem darauf hin, dass ein Server nur dann abgesichert ist, wenn auch Java (JDK/JRE) auf dem neuesten Stand ist. Oracle hat zuletzt im April Sicherheits-Updates für Java bereitgestellt.

Die aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers .


Macwelt Marktplatz

2659204