Adobe-Sicherheitsbulletin

Sicherheits-Update für die Creative Cloud Desktop-Anwendung verfügbar

Freigabedatum: 14. Juni 2016

Kennung der Sicherheitslücke: APSB16-21

Priorität: 3

CVE-Nummern: CVE-2016-4157, CVE-2016-4158

Plattform: Windows

Zusammenfassung

Adobe hat ein Sicherheits-Update für die Creative Cloud Desktop-Anwendung für Windows veröffentlicht. Dieses Update schließt eine Sicherheitslücke zu nicht vertrauenswürdigen Suchpfaden im Installationsprogramm für die Creative Cloud Desktop-Anwendung sowie eine nicht aufgeführte Sicherheitslücke zu Servicepfad-Aufzählungen ohne Anführungszeichen in der Creative Cloud-Desktop-Anwendung.

Betroffene Versionen

Produkt Betroffene Version Plattform
Creative Cloud Desktop-Anwendung Creative Cloud 3.6.0.248 und frühere Versionen Windows 

Lösung

Adobe stuft die Priorität dieses Updates wie folgt ein. Die Installation wird allen Anwendern empfohlen.

Produkt Aktualisierte Version Plattform Priorität
Creative Cloud Desktop-Anwendung Creative Cloud 3.7.0.272 Windows  3

Das Creative Cloud 3.7.0.272-Installationsprogramm ist seit dem 13. Juni 2016 verfügbar. Weitere Informationen finden Sie unter https://www.adobe.com/de/creativecloud/desktop-app.html.

In verwalteten Umgebungen können IT-Administratoren den Creative Cloud Packager verwenden, um, wie in diesem Arbeitsablauf beschrieben, Bereitstellungspakete zu erstellen.

Weitere Informationen zum Creative Cloud Packager erhalten Sie auf dieser Hilfeseite.

Sicherheitslückendetails

  • Dieses Updates schließt eine Sicherheitslücke im Verzeichnissuchpfad, über den Ressourcen gesucht werden, die zur Ausführung von Code führen kann (CVE-2016-4157). 
  • Dieses Update schließt eine Sicherheitslücke zu Servicepfad-Aufzählungen ohne Anführungszeichen in der Creative Cloud Desktop-Anwendung(CVE-2016-4158).

Danksagung

Adobe bedankt sich bei den folgenden Personen und Organisationen für das Melden dieser Schwachstelle und den Beitrag zum Schutz der Sicherheit unserer Kunden:

  • YoKo Kho und Dicky (@dickysOfficial) von MII – CAS Dept (CVE-2016-4157).
  • Cyril Vallicari/Ug_0 Sicherheit und Sicherheitsteam Netservice de Toekomst (CVE-2016-4158).