Nachdem Adobe bei Microsofts Update-Dienstag in der letzten Woche noch aus nicht genanntem Grund passen musste, hat der Software-Hersteller jetzt die vermissten Aktualisierungen nachgeliefert. Die dicksten Brocken sind einmal mehr die Updates für die PDF-Tools Acrobat und Acrobat Reader. Sie schließen insgesamt 68 Sicherheitslücken, darunter 45, die Adobe als kritisch einstuft. Hinzu kommen Fix Packs und Service Packs für den Adobe Experience Manager (AEM), die 12 Lücken beseitigen, sowie kleinere Updates für Adobe Download Manager und AEM Forms. Bereits am 9. Oktober hatte Adobe den Flash Player auf Version 32.0.0.270 aktualisiert, dabei jedoch nur einige nicht näher beschriebene Bugs gefixt.
Acrobat und Reader werden weiterhin in drei Versionszweigen gepflegt. Die Weiterentwicklung erfolgt im so genannten Continuos Track. Hier gibt es Updates auf die Version 2019.021.20047 für Windows und macOS. Mit Sicherheits-Updates versorgt werden die Classic Tracks 2017 und 2015. Für diese sind Updates auf die Versionen 2017.011.30150 und 2015.006.30504 erhältlich, ebenfalls für Windows und macOS.
Fast alle der 68 mit diesen Updates beseitigten Schwachstellen wurden durch externe Sicherheitsforscher entdeckt und an Adobe gemeldet. Etwa die Hälfte der Lücken ist über das ZDI Bug Bounty Programm eingereicht worden. Die meisten Lücken (45) sind geeignet, um mit präparierten PDF-Dateien Code einzuschleusen und auszuführen. Angriffe, die eine oder mehrere der Schwachstellen ausnutzen würden, sind bislang nicht bekannt.
Im Adobe Experience Manager (AEM) 6.x schließt der Hersteller insgesamt 12 Sicherheitslücken. Adobe stuft nur eine dieser Schwachstellen (CVE-2019-8088) als kritisch ein. Sie ermöglicht es Befehle zu injizieren und so beliebigen Code auszuführen. Sieben Lücken schätzt Adobe als hohes Risiko ein (important/wichtig), vier als mittelschweres Risiko (moderate). Für AEM 6.3 gibt es ein neues kumulatives Fix Pack, für AEM 6.4 und 6.5 bietet Adobe Service Packs an. Nutzer der ebenfalls anfälligen älteren Versionen 6.0 bis 6.2 verweist Adobe an seinen Kundendienst.
Die gleichen Service Packs beseitigen auch ein als mittleres Risiko eingestuftes Datenleck (CVE-2019-8089) in AEM Forms.
Der Adobe Download Manager kommt bei Acrobat Reader und Flash Player zum Einsatz. In der Version 2.0.0.363 kann es durch unsichere Dateizugriffsrechte zu einer lokalen Rechteausweitung kommen (CVE-2019-8071). Dies schätzt Adobe als hohes Risiko ein und bessert mit der neuen Version 2.0.0.417 nach. Diese ist in den aktuellen Versionen des Acrobat Reader und des Flash Player enthalten.
Die aktuellen Adobe Security Bulletins finden Sie auf dieser Seite des Herstellers.
Quelle: Adobe stopft 68 PDF-Lücken - PC-WELT