Sicherheit: Adobe schließt mehrere kritische Lücken

Michael Schäfer 18 Kommentare
Sicherheit: Adobe schließt mehrere kritische Lücken
Bild: TheDigitalArtist | CC0 1.0

Adobe hat diverse Patches für die Programme Acrobat, Photoshop, Reader sowie den Flash Player und die Creative-Cloud-Desktop-Applikation veröffentlicht. Mit den Updates werden über 25 als kritisch eingestufte Sicherheitslücken geschlossen, mit denen es Angreifern unter anderem möglich ist, auf Systemen Schadcode einzuschleusen.

Acrobat und Reader mit großen Problemen

So finden sich alleine 23 „kritische‟ und 23 „wichtige‟ Lücken in den PDF-Tools Acrobat und Reader. Durch einen Speicherfehler ist es Angreifern möglich, Schadcode mit den Rechten des Besitzers und ohne Authentifizierung aus der Ferne auszuführen und somit die Kontrolle über das jeweilige System zu erlangen. Darüber hinaus können über weitere Lücken vertrauliche Informationen an Unbefugte weiter gegeben werden.

Betroffen sind laut Adobe die Versionen bis einschließlich 2015.006.30417, 2017.011.30079 und 2018.011.20038. In neueren Versionen hat Adobe die Sicherheitsprobleme beseitigt.

Als besonders schwerwiegend erweist sich die Sicherheitslücke CVE-2018-4993, bei welcher es vor allem zu Problemen in der Kombination von Microsofts NTLM-Authentifizierungsimplementierung mit Acrobat DC und Acrobat Reader DC kommen kann. Durch das Sicherheitsproblem sollen Angreifer Benutzer auf Ressourcen außerhalb des Unternehmens umleiten können, um dadurch an NTLM-Authentifizierungsnachrichten zu gelangen. Adobe verdeutlicht die Problematik auf einer gesonderten Informationsseite. Zur Beseitigung hatte Microsoft bereits im Oktober 2017 Patches zumindest für Windows 10 und Windows Server 2016 bereitgestellt, sodass die genannten Applikationen dort nicht mehr von der Lücke betroffen sind. Alle anderen Windows-Systeme können nur über die geschützte Ansicht vor der Schwachstelle bewahrt werden.

Darüber hinaus weist Adobe im dazugehörigen Sicherheitsbulletin nochmalig darauf hin, dass die Unterstützung und Updates für Adobe Acrobat 11.x und Adobe Reader 11.x bereits am 15. Oktober 2017 eingestellt wurden. Nutzern der alten Ausgaben empfiehlt Adobe dringend auf die neuesten Versionen von Acrobat DC und Acrobat Reader DC zu wechseln.

Photoshop CC und Creative-Cloud ebenfalls betroffen

Für seine Bildbearbeitungs-Software Photoshop CC stellt Adobe ebenso ein Update bereits. Die damit geschlossene kritische Lücke CVE-2018-4946 ermöglicht in den Versionen 19.1.3 oder älter für Windows und macOS, 18.1.3 oder älter für macOS und 18.1.2 oder älter für Windows ebenfalls das Ausführen von Schadcode aus der Ferne.

Weitere Probleme finden sich in der Version 4.4.1.298 oder früher für Windows und macOS von Adobes Creative-Cloud-Desktop-Applikation: Hier kann es durch als wichtig eingestufte Lücken zu einer Erweiterung der Nutzerrechte kommen.

Kein Patchday ohne Flash

Wie es sich bei einem Patchday von Adobe gehört, darf auch der Flash Player nicht fehlen, auch wenn dieser dieses Mal lediglich mit einer Schwachstelle vertreten ist: Über die Lücke CVE-2018-4944 ist es Angreifern auch hier möglich, schädlichen Code auszuführen. Betroffen sind die Desktop Runtime in der Version 29.0.0.140 oder älter für Windows, macOS und Linux, Version 29.0.0.140 für Chrome auf den Systemen Windows, macOS, Linux sowie Chrome OS und 29.0.0.140 oder früher für Microsoft Edge und Internet Explorer 11.

Adobe rät Nutzern und Administratoren gleichermaßen die entsprechenden Updates schnellstmöglich einzuspielen.