Adobe-Sicherheitsbulletin

Suchen

Zuletzt aktualisiert am 16. November 2021

Sicherheits-Updates für Adobe After Effects verfügbar | APSB21-54

Bulletin-ID	Veröffentlichungsdatum	Priorität
ASPB21-54	20. Juli 2021	3

Zusammenfassung

Adobe hat ein Update für Adobe After Effects für Windows und macOS veröffentlicht. Dieses Update behebt mehrere kritische und moderate Schwachstellen. Wenn die Sicherheitslücke erfolgreich ausgenutzt wird, kann dies zur willkürlichen Ausführung von Code im Kontext des aktuellen Anwenders führen.      

Betroffene Versionen

Produkt	Version	Plattform
Adobe After Effects	18.2.1 und frühere Versionen	Windows

Lösung

Adobe empfiehlt allen Anwendern, über den Aktualisierungsmechanismus der Creative Cloud-Desktop-Anwendung ihre Installation auf die neueste Version zu aktualisieren und stuft die Priorität dieser Updates wie folgt ein: Weitere Informationen erhalten Sie auf dieser Hilfeseite.

Produkt	Version	Plattform	Priorität	Verfügbarkeit
Adobe After Effects	18.4	Windows und macOS	3	Download-Center
Adobe After Effects	17.7.1	Windows und macOS	3	Download-Center

In verwalteten Umgebungen können IT-Administratoren mit der Admin Console Creative Cloud-Anwendungen für Endanwender bereitstellen. Weitere Informationen erhalten Sie auf dieser Hilfeseite.

Hinweis:

CVE-2021-35996 wurde in Adobe After Effects ab Version 18.4 behoben.

Sicherheitslückendetails

Sicherheitslückenkategorie	Sicherheitslückenauswirkung	Problemstufe	CVSS base score	CVSS vector	CVE-Nummern
Out-of-bounds Read (CWE-125)	Arbitrary file system read	Moderate	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2021-36018 CVE-2021-36019
Access of Memory Location After End of Buffer (CWE-788)	Arbitrary code execution	Critical	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-36017
Out-of-bounds Write (CWE-787)	Arbitrary code execution	Critical	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-35993 CVE-2021-35994
Improper Input Validation (CWE-20)	Arbitrary code execution	Critical	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-35995
Access of Memory Location After End of Buffer (CWE-788)	Arbitrary code execution	Critical	8.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-35996

Danksagung

Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und ihre Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:  

CQY vom Topsec Alpha Team (yjdfy) (CVE-2021-35996)
Mat Powell (@mrpowell) und Joshua Smith (@kernelsmith) von Trend Micro Zero Day Initiative (CVE-2021-35994, CVE-2021-35993)
Mat Powell von der Trend Micro Zero Day Initiative (CVE-2021-35995, CVE-2021-36017, CVE-2021-36018) 
Qiao Li vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro (CVE-2021-36019)

Überarbeitungen

3. August 2021: Danksagung für CVE-2021-35993 aktualisiert

15. Oktober 2021: Zeile für die N-1-Version hinzugefügt.

For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?