Adobe schließt 55 Schwachstellen in elf Produkten – ColdFusion als gefährdetster Fall
Automatisiert erstellt von CyberDeutsch
Zusammenfassung
Mit seinen jüngsten Patchday-Aktualisierungen schließt Adobe 55 Schwachstellen in elf seiner Produkte. Fast alle der elf neuen Sicherheitsmitteilungen tragen die Prioritätsstufe 3 – das niedrigste Risiko, bei dem das Unternehmen keine Angriffe erwartet. Eine Mitteilung sticht jedoch heraus: Sie beschreibt fünf kritische Schwachstellen in ColdFusion und ist mit der Prioritätsstufe 1 versehen. Damit signalisiert Adobe, dass Unternehmen das Einspielen der Updates vorziehen sollten, weil das Produkt in der Vergangenheit gezielt von Angreifern ins Visier genommen wurde. Tatsächlich wurden in den vergangenen Jahren mehrere ColdFusion-Schwachstellen für Angriffe ausgenutzt. Die nun behobenen Lücken lassen sich missbrauchen, um Sicherheitsfunktionen zu umgehen, Dateien aus dem System zu lesen und beliebigen Code auszuführen. Auch wenn Adobe für keine der 55 Schwachstellen Kenntnis von einer Ausnutzung in freier Wildbahn hat, fügt sich der Patchday in ein angespanntes Umfeld ein: Erst vor wenigen Tagen veröffentlichte das Unternehmen einen Patch für eine Zero-Day-Lücke in Acrobat und Reader, und die US-Behörde CISA warnte zuletzt vor Angriffen auf eine ältere Schwachstelle in denselben Produkten.
Die als kritisch eingestuften Schwachstellen beschränken sich nicht auf ColdFusion. Adobe hat kritische Lücken, über die sich Code ausführen lässt, auch in Acrobat Reader, InDesign, InCopy, FrameMaker, Connect, Bridge, Photoshop und Illustrator geschlossen.
Weniger schwerwiegend, aber dennoch als „wichtig" eingestuft, sind Probleme in Experience Manager Screens und im DNG SDK. Sie ermöglichen unter anderem die Ausführung von Code, Denial-of-Service-Angriffe sowie die Ausweitung von Berechtigungen.
Für sämtliche der 55 behobenen Schwachstellen gilt nach Angaben des Unternehmens, dass keine aktive Ausnutzung bekannt ist. Die Prioritätsstufe 1 für die ColdFusion-Mitteilung leitet Adobe nicht aus konkreten Angriffen ab, sondern aus der Vorgeschichte des Produkts: ColdFusion war in den zurückliegenden Jahren wiederholt Ziel von Angreifern.
Der aktuelle Patchday reiht sich allerdings in mehrere jüngste Vorfälle ein. Vor wenigen Tagen kündigte Adobe Patches für CVE-2026-34621 an, eine Zero-Day-Schwachstelle in Acrobat und Reader, die allem Anschein nach bereits seit mehreren Monaten ausgenutzt wird.
Hinzu kommt eine Warnung der US-Cybersicherheitsbehörde CISA: Diese teilte mit, dass ihr Angriffe auf eine ältere Acrobat- und Reader-Schwachstelle mit der Kennung CVE-2020-9715 bekannt sind.