Adobe veröffentlicht Sicherheits-Updates für 59 Bugs, die seine Kernprodukte betreffen, darunter Adobe Acrobat Reader, XMP Toolkit SDK und Photoshop.
Adobe fordert seine zahlreichen Acrobat Reader-Anwender auf, ihre Software zu aktualisieren, um kritische Sicherheitslücken zu schließen, die es Angreifern ermöglichen könnten, beliebigen Code auf ungepatchten Versionen auszuführen.
Die Warnungen sind Teil des monatlichen Sicherheitsupdates vom September, mit dem Adobe 59 Fehler in 15 seiner Produkte behebt, darunter Photoshop, Premiere Elements, ColdFusion und InCopy.
Insgesamt sind 36 der Sicherheitslücken als „kritisch“ eingestuft, eine Adobe-spezifische Kennzeichnung, die besagt, dass die Schwachstellen, wenn sie ausgenutzt werden, „die Ausführung von bösartigem nativem Code ermöglichen würden, möglicherweise ohne dass der Anwender dies bemerkt“.
Für die Adobe Acrobat-Familie wurden 26 Sicherheitslücken gepatcht, von denen 13 als kritisch eingestuft wurden, was bedeutet, dass für das betroffene Produkt ein „erhöhtes Risiko“ besteht, angegriffen zu werden.
Zu den weiteren hoch eingestuften Fehlern gehören eine Reihe von Schwachstellen bei der Codeausführung, die durch eine Typverwechslung, einen Heap-basierten Pufferüberlauf oder einen Use-after-free-Angriff ausgelöst werden.
„[One] einzelner Fehler behoben von [a] Photoshop-Patch behobene Fehler könnte … beim Öffnen einer speziell gestalteten Datei zur Ausführung von Code führen“, kommentierte die Zero-Day Initiative am Dienstag in einem Beitrag.
„Wenn Sie noch ColdFusion verwenden, sollten Sie auf jeden Fall die beiden als kritisch eingestuften Fehler zur Umgehung von Sicherheitsfunktionen patchen, die heute behoben werden“, so ZDI weiter.
Unter den Adobe-Fehlern, die nach dem Common Vulnerability Scoring System (CVSS) von MITRE mit dem höchsten Schweregrad bewertet wurden, sticht ein Framemaker-Fehler (CVE-2021-39830) hervor, der mit 8,8 bewertet wurde. Ein weiterer Fehler mit dem Schweregrad 8.8 (CVE-2021-39820) ermöglicht es einem Bedrohungsakteur, beliebigen Code in Versionen von Adobe InDesign auszuführen.
Die nächste Schwachstelle in Bezug auf die CVSS-Bewertung mit hohem Schweregrad ist eine Schwachstelle in Adobe Digital Editions, die mit dem Schweregrad 8,6 bewertet wurde. Die Schwachstelle (CVE-2021-39826) wird als Fehler bei der Injektion von Betriebssystembefehlen beschrieben.
„Die Software konstruiert den gesamten oder einen Teil eines Betriebssystembefehls unter Verwendung extern beeinflusster Eingaben von einer vorgelagerten Komponente, neutralisiert aber spezielle Elemente nicht oder falsch, die den beabsichtigten Betriebssystembefehl verändern könnten, wenn er an eine nachgelagerte Komponente gesendet wird“, erklärte MITRE über die Schwachstelle in Digital Editions.
Laut Adobe ist keiner der in diesem Monat von Adobe behobenen Fehler öffentlich bekannt oder wird aktiv angegriffen.
Es ist an der Zeit, die Bedrohungsjagd zu einer Verfolgung von Angreifern weiterzuentwickeln. Schließen Sie sich Threatpost und Cybersixgill für Threat Hunting an, um Angreifer zu fangen und nicht nur Angriffe zu stoppen. Sie erhalten eine Führung durch das Dark Web und erfahren, wie Sie Bedrohungsakteure aufspüren können, bevor sie ihren nächsten Angriff starten. Registrieren Sie sich jetzt für die LIVE-Diskussion am 22. September um 14.00 Uhr EST mit Sumukh Tendulkar und Edan Cohen von Cybersixgill, dem unabhängigen Forscher und vCISO Chris Roberts und Threatpost-Moderatorin Becky Bracken.
Einige Teile dieses Artikels stammen aus:
threatpost.com
Apple iPad 10,2-Zoll (2021) Alle Informationen und Details