Original-URL des Artikels: https://www.golem.de/news/august-patchday-hotel-kette-entdeckt-kritischen-fehler-in-adobe-cms-1908-143196.html    Veröffentlicht: 14.08.2019 10:48    Kurz-URL: https://glm.io/143196

August-Patchday

Hotel-Kette entdeckt kritischen Fehler in Adobe-CMS

Adobe muss am August-Patchday eine hohe Anzahl von Sicherheitslücken beseitigen, die aber meist keine unmittelbare Gefahr darstellen. In einem Fall hat jedoch Hyatt einen unangenehmen Fehler im CMS Experience Manager entdeckt.

Mit einer größeren Anzahl an Security Bulletins mach Adobe auf diverse Sicherheitslücken in seinen Programmen aufmerksam. Wie auch letzten Monat werden keine Flashplayer-Fehler beseitigt. Im August liegt der Fokus vor allem auf Produkten der Creative Cloud und den PDF-Produkten.

Der Adobe Reader und das dazugehörige PDF-Erstellwerkzeug Acrobat haben eine mittlere Priorität bekommen. Unmittelbare Gefahr besteht nicht, wenn das Update nicht eingespielt wird. Es wurde aber eine große Anzahl von Fehlern gefunden, die prinzipiell das Ausführen von Code beim Öffnen einer manipulierten Datei zulassen würde. Es handelt sich um einen Angriffsvektor, von dem Adobe sagt, dass er oft genutzt wird. Zwei Dutzend Danksagungen gibt es seitens Adobe an diverse Sicherheitsforscher, die die Sicherheitslücken entdeckt hatten.

Als besonders kritisch wird hingegen eine Sicherheitslücke im Adobe Experience Manager eingestuft, die alsbald gepatcht werden sollte. Es existiert ein Problem in der Security Assertion Markup Language, die einen direkten, unangemeldeten Zugriff auf den Experience Manager erlauben soll. Entdeckt wurde der Fehler unter anderem von einem Mitarbeiter der Hyatt-Hotel-Kette und einer Person, die sich zb3 nennt. Hyatt verwendet das Content-Management-System selbst. Es wird für größere Unternehmensauftritte genutzt. Ein erfolgreicher Einbruch in so ein System eines großen Unternehmens kann dementsprechend sehr unangenehme Auswirkungen haben.

Die restlichen von Adobe gemeldeten Fehler betreffen Creative-Cloud-Komponenten und sind in der niedrigsten Prioritätsstufe eingeordnet. Hier gibt es ein grundsätzliches DLL-Hijacking-Problem. Photoshop hat noch ein paar zusätzliche Fehler mit potenzieller Codeausführung, schätzt aber auch hier die Priorität als gering ein.

Nur die Creative Cloud Desktop Application sollten Anwender schneller patchen. Adobe ordnet die Probleme als mittlere Priorität ein. Das liegt möglicherweise daran, dass eine der Sicherheitslücken das Erschleichen höherer Rechte ermöglicht. Das macht die Lücke etwas attraktiver für potenzielle Angreifer. Da die Creative Cloud in der Regel in einem Rutsch aktualisiert wird, dürfte sich ein schnelles Patchen ohnehin anbieten.

 (ase)


Verwandte Artikel:
Bridge und Dreamweaver: Adobe muss keinen Flash-Bug beseitigen   
(10.07.2019, https://glm.io/142460 )
Sicherheitslücke: SQL-Injection gefährdet Magento-Shops   
(29.03.2019, https://glm.io/140339 )
Adobe: Sicherheitslücke in Photoshop CC   
(12.03.2019, https://glm.io/139950 )
Sicherheitslücke: Adobe veröffentlicht Sicherheitsupdate für Coldfusion   
(04.03.2019, https://glm.io/139758 )
Zero-Day-Lücken: Angreifer verraten sich durch Virustotal-Upload   
(03.07.2018, https://glm.io/135294 )

© 1997–2020 Golem.de, https://www.golem.de/