Adobe räumt auf: Der größte Patch betrifft Adobe Experience Manager (AEM) Versionen 6.5.5.0, 6.4.8.1, 6.3.3.8 und früher sowie 6.2 SP1-CFP20 und früher. Versionen des AEM Forms-Zusatzpakets Service Pack 5 und früher sind ebenfalls betroffen.

Fünf kritische Schwachstellen, einschließlich reflektierter und gespeicherter Cross-Site-Scripting-Probleme, wurden in AEM behoben. Die Schwachstellen werden als CVE-2020-9732, CVE-2020-9734, CVE-2020-9740, CVE-2020-9741 und CVE-2020-9742 verfolgt.  Zwei der Sicherheitsprobleme, CVE-2020-9732 und CVE-2020-9734, beziehen sich speziell auf das Service Pack Forms. Jede Sicherheitslücke kann, wenn sie nicht behoben wird, zu einer willkürlichen JavaScript-Ausführung im Browser führen.

Sechs weitere, als wichtig erachtete Fehler wurden ebenfalls in der AEM behoben. CVE-2020-9733 wird als „Ausführung mit unnötigen Privilegien“ beschrieben, die bei Missbrauch zur Offenlegung von Informationen führen kann, während es sich bei CVE-2020-9743 um eine browser-basierte, willkürliche HTML-Injektions-Schwachstelle handelt.

Darüber hinaus sind CVE-2020-9735, CVE-2020-9736, CVE-2020-9737 und CVE-2020-9738 Sicherheitslücken beim Cross-Site-Scripting gespeichert, die zu einer willkürlichen JavaScript-Ausführung in einem Browser führen können. Adobe hat außerdem eine Reihe von Software-Abhängigkeiten aktualisiert, darunter Handlebars.js, Lodash.js, Log4j und Dom4j.

In der aktuellen Sicherheitsrunde hat der Software-Riese zudem insgesamt fünf Sicherheitslücken in Adobe InDesign geschlossen. Die Fehler, die die Versionen 15.1.1 und darunter betreffen, „könnten zur Ausführung von beliebigem Code im Kontext des aktuellen Benutzers führen“, so Adobe. Jedes Sicherheitsproblem – CVE-2020-9727, CVE-2020-9728, CVE-2020-9729, CVE-2020-9730 und CVE-2020-9731 – wird als Speicherfehler beschrieben.

Adobe Framemaker hat ebenfalls ein Sicherheitsupdate erhalten. Zwei kritische Schwachstellen, ein Problem beim Lesen und stapelbasierten Pufferüberlauf (CVE-2020-9726, CVE-2020-9725), könnten bei Ausnutzung zu beliebiger Codeausführung führen.

„Zwar ist heute keine der in Adobes Version aufgedeckten Schwachstellen bekannt, dass sie aktiv angegriffen werden, doch sollten alle Patches auf Systemen, auf denen diese Produkte installiert sind, vorrangig behandelt werden“, so Jimmy Graham, Senior Director of Product Management bei Qualys.

Der Technikgigant dankte den Forschern von Trend Micro und Fortinets FortiGuard Labs für die Offenlegung einiger der Sicherheitsprobleme. Der letzte Sicherheitspatch von Adobe, der im September veröffentlicht wurde, behebt 26 kritische und wichtige Fehler in Acrobat und Reader. Insgesamt konnten 11 in Angriffsketten zur entfernten Codeausführung verwendet werden.

Adobe Flash ist seit vielen Jahren umstritten. Microsoft, Adobe, Apple, Facebook, Google und Mozilla beabsichtigen, die Unterstützung für die Software bis Ende 2020 zu beenden, und Anfang dieser Woche hat Microsoft seinen Zeitplan für die Entfernung der Flash-Unterstützung für Microsoft Edge und Internet Explorer 11 klargestellt. Nach diesem Zeitpunkt wird Adobe auch keine Sicherheitsfixes mehr für Flash herausgeben.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Jakob Jung

Recent Posts

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

2 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

2 Tagen ago

Check Point verhindert Diebstahl von Krypto-Wallets

Die Sicherheitsforscher von Check Point Research entdeckten eine Schwachstelle im größten NFT-Online-Marktplatz Open Sea und…

2 Tagen ago

Trickbot gefährlichste Malware

Laut dem Check Point Research (CPR) Global Threat Index für September 2021 übernimmt Trickbot die…

3 Tagen ago

5G-Transformation – Chancen und Herausforderungen

Wie Unternehmen von der 5G Technologie profitieren und warum eine Multi-Cloud-Strategie sinnvoll ist, schildert David…

4 Tagen ago

ONLYOFFICE: Projektmanagement von unterwegs mit neuer Projects-App für Android, neue Features für bessere mobile Dokumentenbearbeitung auf iOS & Android

Spannende Neuigkeiten an der Mobile-Front von ONLYOFFICE! Die Open-Source-Plattform hat ihre mobile Projektmanagement-App “ONLYOFFICE Projects”-App…

5 Tagen ago