Patchday Adobe: Lücken in Acrobat & Co. können Schadcode auf PCs lassen

Mehrere Adobe-Anwendungen sind unter macOS und Windows verwundbar. In einigen Fällen sind auch noch andere Plattformen betroffen. Im schlimmsten Fall können Angreifer die volle Kontrolle über Computer erlangen.

Systeme schützen

Weil die Auflistung der Sicherheitsupdates den Rahmen dieser Meldung sprengt, sind die Warnmeldungen mit den aufgelisteten Versionen am Ende dieses Beitrags verlinkt. Wie üblich, verrät Adobe keinerlei Informationen zu möglichen Angriffsszenarien. Bislang gibt es keine Hinweise, dass Angreifer die Schwachstellen bereits ausnutzen. Admins sollten mit der Installation der Sicherheitsupdates aber nicht zu lange warten.

Über mehrere Lücken in verschiedenen Acrobat-Anwendungen kann Schadcode auf Systeme gelangen (etwa CVE-2025-54257 „hoch„). After Effects leakt nach erfolgreichen Attacken nicht näher beschriebene Inhalte aus dem Speicher (etwa CVE-2025-54239 „mittel“). Angriffe auf ColdFusion 2021, 2023 und 2025 können dazu führen, dass Angreifer schreibend auf das Dateisystem zugreifen können (CVE-2025-54261 „kritisch„).

Im Kontext einer Schwachstelle (CVE-2025-54236 „kritisch„) in Commerce können Angreifer Sicherheitsmechanismen umgehen. Das ist auch bei Experience Manager der Fall. Dreamweaver ist für eine CSRF-Attacke (CVE-2025-54256 „kritisch„) anfällig. Premiere Pro kann Schadcode passieren lassen (CVE-2025-54242 „hoch„). Substance 3D Modeler und Substance 3D Viewer sind ebenfalls für Schadcode-Attacken empfänglich (etwa CVE2025-54243 „hoch„).

Auflistung der Sicherheitspatches:

(des)