Angreifbare Datenbanksysteme bei Adobe

Adobe Sicherheitslücke galt intern nicht als kritisch

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Im Datenbanksystem von Adobe wurden Anfälligkeiten entdeckt, die sich für Code-Injektionen ausnutzen ließen.
Im Datenbanksystem von Adobe wurden Anfälligkeiten entdeckt, die sich für Code-Injektionen ausnutzen ließen. (Bild: geralt - Pixabay.com / CC0)

Bug Hunter behaupten sie hätten eine entfernte Codeausführungslücke in einem der wichtigsten Datenbanksysteme des Photoshop-Entwicklers entdeckt. Trotz der Brisanz wurde die erst jüngst behobene Schwachstelle von Adobe als nicht kritisch eingestuft.

Adobe hat die Schwachstelle bestätigt, spielt deren Bedeutung aber herunter. „Dies war ein Cross-Site-Scripting-Fehler in einer Form, die für die Registrierung von Event-Marketing verwendet wurde“, sagte eine Sprecherin von Adobe, und weiter: "Wir haben inzwischen eine Lösung implementiert.“

Das Vulnerability Laboratory, das den Fehler gefunden hat, bestreitet, dass das Problem nicht kritisch ist und teilt nicht die Auffassung von Adobe. Nach der Einschätzung der Bug Hunter wäre der Fehler im Common Vulnerability Scoring System mit 6,4 bewertet worden. „Am Anfang dachten die Ingenieure, dass dies nur das Marketingsystem durch XSS (Cross-Site-Scripting) beeinflusst, aber das war es nicht“, sagte Benjamin Kunz Mejri vom Vulnerability Laboratory.

„Viele Domains waren von der Schwachstelle betroffen, unter anderem der E-Mail-Dienst und Teile des Backends wo auch Daten bearbeitet werden.“ Mejri fügte hinzu: „Wird ein beliebiger Code injiziert, führt das sicher – an mehreren Stellen in ihrer Infrastruktur – zu einer Code-Ausführung.“

Vulnerability Lab hat Adobe erstmals im Februar über das Problem informiert und arbeitet seit fünf Monaten mit dem Hersteller zusammen, um die Lücke zu schließen. Adobe hat den Fehler am Samstag, den 14. Juli behoben. Erst danach ist Vulnerability Lab an die Öffentlichkeit gegangen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45417686 / Application Security)