Adobe-Sicherheitsbulletin

Sicherheits-Updates für Substance 3D Stager verfügbar | APSB23-22

Bulletin-ID

Veröffentlichungsdatum

Priorität

APSB23-22

14. März 2023

3

Zusammenfassung

Adobe hat ein Update für Adobe Substance 3D Stager veröffentlicht.  Dieses Update behebt  kritische und wichtige Sicherheitslücken in den Abhängigkeiten von Adobe Substance 3D Stager von Drittanbietern. Eine erfolgreiche Ausnutzung könnte zur Ausführung von beliebigem Code und einem Speicherleck im Kontext des aktuellen Benutzers führen.    

Betroffene Versionen

Produkt

Version

Plattform

Adobe Substance 3D Stager

2.0.0 und frühere Versionen 

Windows und macOS 

Lösung

Adobe empfiehlt allen Anwendern die Installation der neuesten Version über den Update-Mechanismus der Creative Cloud-Desktop-Anwendung und stuft die Priorität dieser Updates wie nachfolgend erklärt ein. Weitere Informationen erhalten Sie auf dieser Hilfeseite.   

Produkt

Version

Plattform

Priorität

Verfügbarkeit

Adobe Substance 3D Stager

2.0.1

Windows und macOS 

3

In verwalteten Umgebungen können IT-Administratoren mit der Admin Console Creative Cloud-Anwendungen für Endanwender bereitstellen. Weitere Informationen erhalten Sie auf dieser Hilfeseite.  

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVSS-Basispunktzahl 

CVE-Nummern

Gelesen außerhalb des gültigen Bereichs (CWE-125)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25863

Heap-basierter Pufferüberlauf (CWE-122)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25864

Zugriff auf Speicherposition nach dem Pufferende (CWE-788)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25865

Schreibvorgang außerhalb des gültigen Bereichs (CWE-787)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25866

Zugriff auf Speicherposition nach dem Pufferende (CWE-788)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25867

Heap-basierter Pufferüberlauf (CWE-122)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25868

Gelesen außerhalb des gültigen Bereichs (CWE-125)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25869

Nach kostenloser Version verwenden (CWE-416)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25870

Nach kostenloser Version verwenden (CWE-416)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25871

Heap-basierter Pufferüberlauf (CWE-122)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25872

Gelesen außerhalb des gültigen Bereichs (CWE-125)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25873

Heap-basierter Pufferüberlauf (CWE-122)

Willkürliche Ausführung von Code

Kritisch

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2023-25874

Gelesen außerhalb des gültigen Bereichs (CWE-125)

Speicherverlust

Wichtig

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVE-2023-25875

Gelesen außerhalb des gültigen Bereichs (CWE-125)

Speicherverlust

Wichtig

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVE-2023-25876

Gelesen außerhalb des gültigen Bereichs (CWE-125)

Speicherverlust

Wichtig

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVE-2023-25877

Gelesen außerhalb des gültigen Bereichs (CWE-125)

Speicherverlust

Wichtig

5.5

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

CVE-2023-25878

Updates für Abhängigkeiten

Abhängigkeit    

Schwachstelle

Auswirkung

Betroffene Versionen

Sketchup

Stapelbasierter Pufferüberlauf (CWE-121)

Willkürliche Ausführung von Code

2.0.0 und frühere Versionen 

Sketchup

Nach kostenloser Version verwenden (CWE-416)

Willkürliche Ausführung von Code

2.0.0 und frühere Versionen 

Sketchup

Zugriff auf Speicherposition nach dem Pufferende (CWE-788)

Speicherverlust

2.0.0 und frühere Versionen 

Danksagung:

Adobe bedankt sich bei den folgenden Forschern  für die Meldung der relevanten Probleme und die Zusammenarbeit mit Adobe zum Schutz unserer Kunden:

  • Mat Powell arbeitet mit Trend Micro Zero Day Initiative  CVE-2023-25863, CVE-2023-25864, CVE-2023-25865, CVE-2023-25866, CVE-2023-25867, CVE-2023-25868, CVE-2023-25869, CVE-2023-25870, CVE-2023-25871, CVE-2023-25872, CVE-2023-25873, CVE-2023-25874, CVE-2023-25875, CVE-2023-25876, CVE-2023-25877, CVE-2023-25878

Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?