Adobe stopft kritische Sicherheitslöcher in Reader, Acrobat und Photoshop

Adobe hat an seinem Februar-Patchday unter anderem Updates für seine PDF-Anwendungen Reader und Acrobat sowie die Bildbearbeitung Photoshop veröffentlicht. Das Unternehmen beseitigt mehrere als kritisch eingestufte Anfälligkeiten. Sie erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne. Mindestens eine Schwachstelle in Reader und Acrobat wird unter Windows bereits aktiv für Angriffe ausgenutzt.

Betroffen sind Reader und Acrobat DC (Version 2020.013.20074 und früher) für Windows und macOS, Acrobat und Reader 2020 (Version 2020.001.30018 und früher) für Windows und macOS sowie Acrobat und Reader 2017 (Version 2017.011.30188 und früher) für Windows und macOS. Adobe rät zu einer zeitnahen Aktualisierung der Anwendungen. Die Sicherheitslücken versieht es mit der Prioritätsstufe eins, wonach ein hohes Risiko für Hackerangriffe besteht.

Einem aktuellen Security Bulletin zufolge stecken insgesamt 23 Schwachstellen in Reader und Acrobat. 18 davon versehen die Entwickler mit der Einstufung “kritisch”. Sie erlauben jeweils eine Remotecodeausführung. Andere Anfälligkeiten lassen sich für Denial-of-Service-Angriffe oder das Ausspähen vertraulicher Informationen benutzen.

Entdeckt wurden die Bugs überwiegend von externen Sicherheitsforschern. Sie arbeiten unter anderem für CloudFuzz, Hadoob Labs und Palo Alto Networks. Einige Fehlerberichte wurden auch über Trend Micros Zero Day Initiative eingereicht, da Adobe selbst kein Prämienprogramm anbietet. Die meisten Löcher wurden allerdings von Teilnehmern des chinesischen Hackerwettbewerbs Tianfu Cup 2020 entdeckt und an Adobe gemeldet.

Sicherheitsupdates erhalten auch Nutzer von Photoshop 2020 (Version 21.2.4 und früher) und Photoshop 2021 (Version 22.1.1 und früher). Betroffen sind jeweils die Ausgaben für Windows und macOS. Hier stehen die fehlerbereinigten Versionen 22.2 und 21.2.5 zur Verfügung. Sie beseitigen fünf kritische Speicherfehler, die Unbefugten das Einschleusen und Ausführen von Schadcode gestatten.

Weitere Patches bietet Adobe für die Anwendungen Magento, Animate, Illustrator und Dreamweaver an. Auch hier werden zum Teil kritische Schwachstellen gestopft. Aufgrund ihrer geringeren Verbreitung vergibt Adobe allerdings nur die Prioritäten 2 und 3, wonach mit Angriffen zeitnah nicht zu rechnen ist.