Zum Patchday hat Adobe diesmal lediglich zwei Produkte, nämlich Acrobat und Reader und den Foto-Editor Lightroom für Windows und macOS, mit Sicherheitsupdates bedacht. Nutzer dieser Produkte sollten dennoch zeitnah updaten: Im Security Bulletin zu Adobe und Reader sind CVE-Nummern zu 26 Lücken aufgeführt, von denen 11 die Einstufung "Critical" aufweisen. Alle übrigen – auch die Lücke in Lightroom – hat der Hersteller immerhin mit "Important" bewertet.
Updates für Acrobat und Reader
Die kritischen Sicherheitslücken in Acrobat und Reader könnten unter anderem missbraucht werden, um Sicherheitsmechanismen zu umgehen und beliebigen Code im Kontext des derzeit angemeldeten Nutzers auszuführen. Lücken mit "Important"-Einstufungen ermöglichen Angreifern zudem das Erlangen sensibler Informationen, Privilegienausweitung sowie das Provozieren eines Denial-of-Service (Absturz) der Anwendung. Mindestens einige der Lücken sind aus der Ferne ausnutzbar.
Betroffen sind Acrobat DC und Acrobat Reader DC in allen Versionen bis einschließlich 2020.009.20074 sowie die "Classic"-Ausgaben von
- Acrobat und Acrobat Reader 2015 bis einschließlich Version 2015.006.30523 ,
- Acrobat und Acrobat Reader 2017 bis einschließlich Version 2017.011.30171 und
- Acrobat und Acrobat Reader 2020 bis einschließlich Version 2020.001.30002.
Aktualisierung für Lightroom
Anders als im Falle von Adobe und Reader sind über die als "Important" eingestufte Sicherheitslücke CVE-2020-9724 in Lightroom nur Windows-, nicht aber macOS-Systeme angreifbar. Betroffen sind Lightroom Classic-Versionen bis einschließlich 9.2.0.10. Die Lücke erlaubt hier unter bestimmten Voraussetzung die Rechtausweitung im Kontext des aktuellen Benutzers.
Weitere Details zu Angriffsmöglichkeiten nennt das Security Bulletin APSB20-51 leider nicht. Die neue Lightroom-Version 9.3, die gleichermaßen für Windows und macOS verfügbar ist, beseitigt die Lücke. Sie steht für registrierte Nutzer in Adobes Download-Center bereit.
Quelle: Patchday Adobe: Wichtige Updates für Acrobat, Reader und Lightroom | heise online