Abo
  • IT-Karriere:

August-Patchday: Hotel-Kette entdeckt kritischen Fehler in Adobe-CMS

Adobe muss am August-Patchday eine hohe Anzahl von Sicherheitslücken beseitigen, die aber meist keine unmittelbare Gefahr darstellen. In einem Fall hat jedoch Hyatt einen unangenehmen Fehler im CMS Experience Manager entdeckt.

Artikel veröffentlicht am ,
Ein Hyatt-Mitarbeiter hat zusammen mit zb3 eine kritische Adobe-Sicherheitslücke entdeckt.
Ein Hyatt-Mitarbeiter hat zusammen mit zb3 eine kritische Adobe-Sicherheitslücke entdeckt. (Bild: Hyatt)

Mit einer größeren Anzahl an Security Bulletins mach Adobe auf diverse Sicherheitslücken in seinen Programmen aufmerksam. Wie auch letzten Monat werden keine Flashplayer-Fehler beseitigt. Im August liegt der Fokus vor allem auf Produkten der Creative Cloud und den PDF-Produkten.

Stellenmarkt
  1. Taunus Sparkasse, Bad Homburg vor der Höhe
  2. Computacenter AG & Co. oHG, München

Der Adobe Reader und das dazugehörige PDF-Erstellwerkzeug Acrobat haben eine mittlere Priorität bekommen. Unmittelbare Gefahr besteht nicht, wenn das Update nicht eingespielt wird. Es wurde aber eine große Anzahl von Fehlern gefunden, die prinzipiell das Ausführen von Code beim Öffnen einer manipulierten Datei zulassen würde. Es handelt sich um einen Angriffsvektor, von dem Adobe sagt, dass er oft genutzt wird. Zwei Dutzend Danksagungen gibt es seitens Adobe an diverse Sicherheitsforscher, die die Sicherheitslücken entdeckt hatten.

Als besonders kritisch wird hingegen eine Sicherheitslücke im Adobe Experience Manager eingestuft, die alsbald gepatcht werden sollte. Es existiert ein Problem in der Security Assertion Markup Language, die einen direkten, unangemeldeten Zugriff auf den Experience Manager erlauben soll. Entdeckt wurde der Fehler unter anderem von einem Mitarbeiter der Hyatt-Hotel-Kette und einer Person, die sich zb3 nennt. Hyatt verwendet das Content-Management-System selbst. Es wird für größere Unternehmensauftritte genutzt. Ein erfolgreicher Einbruch in so ein System eines großen Unternehmens kann dementsprechend sehr unangenehme Auswirkungen haben.

Die restlichen von Adobe gemeldeten Fehler betreffen Creative-Cloud-Komponenten und sind in der niedrigsten Prioritätsstufe eingeordnet. Hier gibt es ein grundsätzliches DLL-Hijacking-Problem. Photoshop hat noch ein paar zusätzliche Fehler mit potenzieller Codeausführung, schätzt aber auch hier die Priorität als gering ein.

Nur die Creative Cloud Desktop Application sollten Anwender schneller patchen. Adobe ordnet die Probleme als mittlere Priorität ein. Das liegt möglicherweise daran, dass eine der Sicherheitslücken das Erschleichen höherer Rechte ermöglicht. Das macht die Lücke etwas attraktiver für potenzielle Angreifer. Da die Creative Cloud in der Regel in einem Rutsch aktualisiert wird, dürfte sich ein schnelles Patchen ohnehin anbieten.



Anzeige
Hardware-Angebote
  1. 204,90€
  2. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Fachkräftemangel Freie sind gefragt
  2. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  3. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

    •  /