Am Juli-Patchday verteilt Adobe Sicherheitsupdates für Adobe Indesign und Adobe Coldfusion. In beiden Programmen klaffen kritische Sicherheitslücken, die Angreifern etwa das Einschleusen von Schadcode ermöglichen.

Die Schwachstellen in Coldfusion stuft Adobe als besonders kritisch ein. Eine Lücke betrifft die Deserialisierung von nicht vertrauenswürdigen Daten, was Angreifern das Unterjubeln von beliebigem Code ermöglicht (CVE-2023-29300, CVSS 9.8, Risiko "kritisch"). Zudem können bösartige Akteure unzureichende Zugriffskontrollen missbrauchen, um Sicherheitsfunktionen zu umgehen (CVE-2023-29298, CVSS 7.5, hoch). Das Risiko schätzt Adobe abweichend vom CVSS-Wert als kritisch ein. Zudem könnten aufgrund einer unzureichenden Begrenzung von Authentifizierungsversuchen Sicherheitsmaßnahmen umgangen werden (CVE-2023-29301, CVSS 5.9, mittel), was der Hersteller auch hier abweichend als hohes Risiko einsortiert.

Besonders gravierende Adobe-Lücken

Zudem stuft Adobe das Missbrauchsrisiko der Coldfusion-Lücken als sehr hoch ein, in die Prioritätsstufe 1. Darunter versteht der Hersteller, dass die Wahrscheinlichkeit von Angriffen so hoch ist, dass Administratoren die Updates so schnell wie möglich installieren sollen – als Beispiel nennt Adobe, etwa innerhalb von 72 Stunden. Die Versionen Coldfusion 2023 Update 1, 2021 Update 7 sowie 2018 Update 17 schließen laut Adobes Sicherheitsmeldung die Sicherheitslücken.

In Adobe Indesign schlummern hingegen zwölf Sicherheitslücken. Eine Schwachstelle erlaubt Schreibzugriffe außerhalb von vorgesehenen Speicherbereichen und könnte Codeschmuggel ermöglichen (DVE-2023-29308, CVSS 7.8, hoch). Adobe betrachtet das als kritische Lücke. Elf Schwachstellen erlauben Angreifern das unbefugte Auslesen von Speicherbereichen (CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023-29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319; alle CVSS 5.5, mittel). Adobe ordnet sie laut Sicherheitsmeldung als wichtig ein, das Missbrauchsrisiko hingegen mit der Priorität 3 als niedrig. Die Aktualisierungen sollten IT-Verantwortliche daher bei nächster Möglichkeit installieren.

Im vergangenen Monat hatte Adobe zum Patchday ebenfalls einige als kritisch eingestufte Schwachstellen ausgebessert. Updates für Animate, Commerce, Experience Manager und Substance 3D Designer haben die Lücken geschlossen.

