Angreifer könnten Computer mit Adobe Connect attackieren und eigenen Code im Browser ausführen. Reader Mobile könnte Informationen leaken.
Das Update für die Lücken (CVE-2020-24442, CVE-2020-24443) ist als "wichtig" eingestuft. Durch eine erfolgreiche XSS-Attacke (reflected) könnten Angreifer JavaScript im Browser von Opfern ausführen. Davon sind alle Plattformen betroffen. Adobe Connect 11.0.5 ist dagegen abgesichert. Alle vorigen Ausgaben sind einer Warnmeldung von Adobe zufolge bedroht.
Von der Schwachstelle (CVE-2020-24441) in Adobe Reader Mobile sind alle Android-Versionen betroffen. Abgesichert ist die Ausgabe 20.9.0.
Vorgezogener Patchday
Mehrere kritische Sicherheitslücken in Acrobat und Reader hat Adobe bereits Anfang November in Form von Notfall-Patches geschlossen.
Quelle: Patchday Adobe: Kurz und schmerzlos | heise online