Kritische Code-Ausführungslücken bei Adobe plagen Windows-Anwender

Cyber Security News

Die kritischen Schwachstellen bestehen in Adobe Framemaker, Connect und der Creative Cloud Desktop-Anwendung für Windows.

Adobe hat Patches für eine Reihe von kritischen Sicherheitslücken veröffentlicht, die bei Ausnutzung die Ausführung von beliebigem Code auf anfälligen Windows-Systemen ermöglichen könnten.

Zu den betroffenen Produkten gehören der Framemaker-Dokumentenprozessor von Adobe, der für das Schreiben und Bearbeiten großer oder komplexer Dokumente entwickelt wurde, die Connect-Software von Adobe, die für Remote-Webkonferenzen verwendet wird, und die Adobe Creative Cloud-Software-Suite für die Videobearbeitung.

“Laut einem Adobe-Sprecher sind Adobe keine Exploits für die in diesen Updates behandelten Probleme bekannt.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

Während diese Schwachstellen als kritisch eingestuft werden, ist es wichtig zu wissen, dass sie von Adobe mit der Priorität 3″ bewertet wurden. Das bedeutet, dass das Update “Schwachstellen in einem Produkt behebt, das in der Vergangenheit kein Ziel für Angreifer war”, und dass Administratoren dringend gebeten werden, “das Update nach eigenem Ermessen zu installieren”.

Adobe Framemaker Sicherheitslücke

Adobe hat eine kritische Sicherheitslücke (CVE-2021-21056) in Framemaker behoben, die bei Ausnutzung die Ausführung von beliebigem Code ermöglichen könnte. Bei der Schwachstelle handelt es sich um einen Out-of-Bounds-Read-Fehler; das ist eine Art Pufferüberlauf-Fehler, bei dem die Software Daten über das Ende des vorgesehenen Puffers hinaus liest. Ein Angreifer, der Out-of-Bounds-Speicher lesen kann, könnte in der Lage sein, “geheime Werte” (wie Speicheradressen) zu erhalten, die es ihm letztendlich ermöglichen, Codeausführung oder Denial-of-Service zu erreichen.

Adobe Framemaker ab Version 2019.0.8 (für Windows) ist von der Schwachstelle betroffen; ein Patch ist in Version 2020.0.2 enthalten. Die Entdeckung des Fehlers wird Francis Provencher zugeschrieben, der mit der Zero Day Initiative von Trend Micro zusammenarbeitet.

Creative Cloud Desktop-Anwendung für Windows

Adobe hat außerdem drei kritische Sicherheitslücken in der Desktop-Anwendungsversion von Adobe Creative Cloud für Windows-Anwender behoben.

Zwei der drei kritischen Schwachstellen könnten die Ausführung von beliebigem Code ermöglichen: Eine davon (CVE-2021-21068) rührt von einer Lücke zum Überschreiben beliebiger Dateien her, während die andere (CVE-2021-21078) aufgrund eines Fehlers bei der Befehlsinjektion in das Betriebssystem besteht. Die dritte kritische Schwachstelle (CVE-2021-21069) rührt von einer unsachgemäßen Eingabevalidierung her und könnte einem Angreifer ermöglichen, erweiterte Rechte zu erlangen.

Die Creative Cloud-Desktop-Applikation Versionen 5.3 und früher sind betroffen; Korrekturen werden in Version 5.4 veröffentlicht.

Adobe Connect Kritische und wichtige Schwachstellen

Es wurden mehrere kritische und wichtige Fehler in Adobe Connect gepatcht.

Ein kritischer Fehler (CVE-2021-21078) resultierte aus einer unsachgemäßen Eingabevalidierung; dies könnte die Ausführung von beliebigem Code ermöglichen.

Außerdem wurden drei wichtige Cross-Site-Scripting (XSS)-Fehler (CVE-2021-21079, CVE-2021-21080, CVE-2021-21081) gepatcht. Diese könnten die Ausführung von beliebigem JavaScript im Browser des Opfers ermöglichen, wenn sie ausgenutzt werden.

Adobe Connect Version 11.0.5 und früher sind betroffen; der Fix wurde in Version 11.2 veröffentlicht.

Adobe Sicherheitsupdates werden fortgesetzt

Die regulären Sicherheitsupdates dieses Monats folgen auf eine aktiv ausgenutzte kritische Sicherheitslücke im Februar, die Angreifer ausnutzten, um Anwender von Adobe Reader unter Windows anzugreifen.

Dieser Fehler (CVE-2021-21017) wurde in “begrenzten Angriffen” ausgenutzt, so das monatliche Advisory von Adobe, das die regulär geplanten Februar-Updates enthält. Bei der fraglichen Schwachstelle handelt es sich um einen Heap-basierten Pufferüberlauf mit kritischem Schweregrad.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community:
– 24. März: Economics of 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!)
– 21. April: Unterirdische Märkte: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com