Adobe stopft Sicherheitslöcher in Connect, Creative Cloud und Framemaker

Abgesehen von Microsoft hatte auch Adobe gestern einen Patch-Day abgehalten und dabei kritische Schwachstellen in den Produkten Connect, Creative Cloud und Framemaker geschlossen. Zumindest wird bisher noch keiner der behobenen Fehler angegriffen.

In Connect 11.0.5 und älter wurden vier sicherheitsrelevante Bugs gefunden. Eine unzureichende Eingabeprüfung ermöglicht das Ausführen von Schadcode (CVE-2021-21085), diese Sicherheitslücke wurde als kritisch eingestuft. Drei weitere Schwachstellen (CVE-2021-21079, CVE-2021-21080, CVE-2021-21081) betrachtet Adobe als wichtig. Bei erfolgreicher Ausnutzung wird dem Webbrowser über Reflected Cross-Site-Scripting beliebiger JavaScript-Code untergeschoben. Die abgesicherte Version 11.2 sollte bei Gelegenheit installiert werden (Prioritätsstufe 3).

Die Creative Cloud Desktop Application 5.3 und älter enthält drei kritische Problemstellen: Ein unkontrollierter Schreibzugriff (CVE-2021-21068) und eine Möglichkeit zum Unterschieben von Befehlen (CVE-2021-21078) eignen sich als Einfallstor für Schadcode. Dazu kommt eine Rechteausweitung aufgrund einer unzureichenden Eingabeprüfung (CVE-2021-21069). Laut Adobe ist ausschließlich die Windows-Variante der Applikation betroffen. Die gehärtete Version 5.4 gibt es dennoch für Windows und macOS. Auch hier gilt die niedrige Prioritätsstufe 3.

Im Framemaker 2019.0.8 für Windows wurde ein unkontrollierter Lesezugriff (CVE-2021-21056) repariert. Adobe sieht in diesem eine Möglichkeit, beliebigen Code im Rechtekontext des angemeldeten Benutzers auszuführen. Dennoch gilt auch hier die lässige Prioritätsstufe 3: Kann man aktualisieren, wenn es irgendwann man in den Zeitplan passt. Oder halt nicht.