Adobe schützt Acrobat, Animate, Connect, Experience Manager, InDesign, Illustrator, Media Encoder, Substance 3D Modeler, Substance 3D Painter und Substance 3D Sampler vor möglichen Attacken. Insgesamt hat der Softwarehersteller mehr als 160 Schwachstellen mit Updates für die Produkte geschlossen.
Anzeige
Der Großteil der Lücken findet sich in Experience Manager. Aufgrund von unzureichenden Prüfungen von Eingaben können Angreifer Schadcode ausführen (CVE-2024-43711, Risiko "hoch"). Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad "mittel" eingestuft, Angreifer können Stored-XXS-Attacken dadurch ausführen.
Davon sollen alle Plattformen bedroht sein, die die Software unterstützt. Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben Cloud Service Release 2024.11 und 6.5.22 gelöst zu haben.
Durch mehrere Lücken (zum Beispiel CVE-2024-49530, "hoch") in Acrobat und Reader können bösartige Akteure ebenfalls Schadcode auf Systeme verfrachten. Das betrifft die PDF-Programme für macOS und Windows. Das Gleiche gilt auch für Animate.
Außerdem können Attacken auf InDesign zu Speicherfehlern führen. Das löst überwiegend DoS-Zustände aus, legt also die Software lahm. Oft kann auf diesem Weg aber auch Schadcode auf Systeme gelangen. Die verbleibenden Lücken in den anderen Anwendungen stuft Adobe größtenteils als "kritisch" ein, weil es dadurch zur Ausführung von Schadcode kommen kann. In so einem Fall gelten Systeme generell als vollständig kompromittiert.
Weitere Informationen zu den betroffenen Versionen und den Sicherheitspatches finden sich in den verlinkten Warnmeldungen:
Anzeige
Am Patchday im November hatte Adobe großteils als hochriskant eingestufte Sicherheitslücken in mehreren Programmen ausgebessert. Es waren jedoch bei weitem nicht so viele wie die rund 160 Lücken, die der Hersteller jetzt im Dezember mit Softwareflicken korrigiert.