Beim Patch Day im Juni hat Adobe gegenüber dem Vormonat noch einmal deutlich zugelegt und mehr als dreimal so viele Lücken gestopft wie Microsoft. Es gibt Sicherheits-Updates für zehn Produktfamilien, um 166 überwiegend als hohes Risiko eingestufte Lücken zu schließen. Anfällig sind Acrobat Android, Audition, ColdFusion, Commerce & Magento, Creative Cloud Desktop, Experience Manager, Framemaker Publishing Server, Media Encoder, Photoshop und Substance 3D Stager. Angriffe, bei denen eine der Sicherheitslücken ausgenutzt würde, sind bislang nicht bekannt. Adobe weist daher für alle Updates die niedrigste Dringlichkeitsstufe 3 aus.
Für die Rekordzahl an geschlossenen Sicherheitslücken nahezu allein verantwortlich ist Adobes Experience Manager (AEM), auf den 144 Schwachstellen entfallen. Die beiden Sicherheitsforscher Lorenzo Pirondini und Jim Green haben jeweils mehrere Dutzend Lücken gefunden und an Adobe gemeldet. Es handelt sich bei fast allen Schwachstellen um einfache XSS-Lücken (cross-site scripting), die es erlauben, beliebigen Code auszuführen. Sie sind als hohes Risiko eingestuft. In den zwei verbleibenden Fällen geht um das Umgehen von Schutzmaßnahmen. Während Adobe CVE-2024-26029 als kritisch einstuft, gilt CVE-2024-36226 nur als mittleres Risiko. Nutzer des AEM Cloud Service müssen sich um nichts kümmern. Für AEM 6.5 gibt es ein Update. Wer noch eine ältere AEM-Version (6.4, 6.3, 6.2) einsetzt, wird aufgefordert, sich an den Adobe Kundendienst zu wenden.
▶Die neuesten Sicherheits-Updates
Mit immerhin zehn beseitigten Schwachstellen folgt die Shop-Software Commerce mit ihrer Open-Source-Schwester Magento. Hier sind sieben als kritisch ausgewiesene Sicherheitslücken zu verzeichnen. Wie bei AEM kommen viele Schwachstellen durch unzureichende Prüfung von Benutzereingaben oder anderweitig übergebenen Daten zustande. Das Security Bulletin listet neben den in der unten stehenden Tabelle aufgeführten Versionen noch weitere, für die es im Rahmen eines erweiterten Support-Programms auch noch Updates gibt.
Cold Fusion und der Framemaker Publishing Server weisen je zwei gestopfte Sicherheitslücken auf. Die in Cold Fusion 2023 und 2021 gelten als hohes Risiko, Im Framemaker Publishing Server hat Adobe hingegen zwei als kritisch eingestufte Lücken gestopft.
Photoshop 2023 und 2024 für Windows und macOS weist eine als kritisch ausgewiesene Schwachstelle auf. Ein Angreifer könnte beliebigen Code einschleusen und ausführen. Bei Substance 3D Stager sieht es ganz ähnlich aus.
Die neuesten Adobe Security Bulletins finden Sie auf der Website des Herstellers.
| Produkt | anfällige Version(en) | abgesicherte Version | Schwachstellen | Risiko |
|---|---|---|---|---|
| Acrobat Android | 24.4.2.33155 und älter | 24.5.0.33694 | 2 | hoch |
| Audition | 24.2 und älter | 24.4.1 | 2 | hoch |
| Audition | 23.6.4 und älter | 23.6.6 | 2 | hoch |
| ColdFusion 2023 | Update 7 und älter | Update 8 | 2 | hoch |
| ColdFusion 2021 | Update 13 und älter | Update 14 | 2 | hoch |
| Commerce & Magento Open Source | 2.4.7 und älter | 2.4.7-p1 | 10 | kritisch |
| 2.4.6-p5 und älter | 2.4.6-p6 | 10 | kritisch | |
| 2.4.5-p7 und älter | 2.4.5-p8 | 10 | kritisch | |
| 2.4.4-p8 und älter | 2.4.4-p9 | 10 | kritisch | |
| Creative Cloud Desktop | 6.1.0.587 und älter | 6.2.0.554 | 1 | kritisch |
| Experience Manager | 6.5.20.0 und älter | 6.5.21.0 | 144 | kritisch |
| Cloud Service | Release 2024.5 | 144 | kritisch | |
| Framemaker Publishing Server | 2022.2 und älter | 2022.3 | 2 | kritisch |
| 2020 Update 3 und älter | 2020 Update 4 | 2 | kritisch | |
| Media Encoder | 24.3 und älter | 24.4.1 | 1 | hoch |
| 23.6.5 und älter | 23.6.6 | 1 | hoch | |
| Photoshop 2024 | 25.7 und älter | 25.9 | 1 | kritisch |
| Photoshop 2023 | 24.7.3 und älter | 24.7.4 | 1 | kritisch |
| Substance 3D Stager | 2.1.4 und älter | 3.0.2 | 1 | kritisch |
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.