Adobe hat dringende Sicherheitsupdates für seine Kreativsoftware und Unternehmensplattformen veröffentlicht. Die Patches beheben schwerwiegende Schwachstellen, die Angreifern die vollständige Kontrolle über betroffene Systeme ermöglichen könnten.
Die Updates vom zweiten Dienstag im Januar – dem sogenannten Patch Tuesday – adressieren 25 Sicherheitslücken in insgesamt elf Produkten. Besonders betroffen sind die Design-Tools Dreamweaver, InDesign und Illustrator sowie die gesamte Substance 3D-Suite. Für IT-Administratoren ist vor allem das Update für den ColdFusion-Applikationsserver von höchster Priorität.
ColdFusion-Patch hat oberste Dringlichkeit
Das Update APSB26-12 für Adobe ColdFusion schließt eine kritische Lücke, die zu Remote Code Execution (RCE) führen kann. Adobe stuft diesen Patch mit der höchsten Prioritätsstufe 1 ein. Diese Einstufung erhalten nur Schwachstellen, die besonders gefährdete Umgebungen betreffen oder typischerweise schnell von Angreifern ausgenutzt werden.
Sicherheitsexperten der Zero Day Initiative (ZDI) betonen, dass ColdFusion-Server aufgrund ihrer Rolle im Hosting von Webanwendungen ein beliebtes Angriffsziel sind. Eine erfolgreiche Ausnutzung der Lücke würde einem Angreifer die vollständige Kontrolle über den Server ermöglichen – ohne physischen Zugang. Unternehmen wird empfohlen, das Update innerhalb von 72 Stunden einzuspielen.
IT-Verantwortliche sollten jetzt handeln: Kritische ColdFusion- und RCE-Lücken ermöglichen Angreifern oft volle Kontrolle über Server und Anwendungen. Ein kostenloses Cyber-Security-E‑Book erklärt die aktuellen Bedrohungstrends, zeigt sofort umsetzbare Schutzmaßnahmen für Patch-Management, Logging und Incident‑Response und enthält konkrete Checklisten für kleine und mittlere Unternehmen. So reduzieren Sie das Risiko von Kompromittierungen nachhaltig. Jetzt kostenlosen Cyber‑Security‑Report herunterladen
Kreativ-Tools durch schadhafte Dateien gefährdet
Für Design-Agenturen und Kreativprofis enthalten die Updates kritische Fixes. Allein für Adobe Dreamweaver wurden fünf RCE-Lücken in Bulletin APSB26-01 geschlossen. Die Gefahr: Beim Öffnen einer speziell präparierten Datei könnte Schadcode auf dem Rechner des Nutzers ausgeführt werden.
Auch InDesign und Illustrator erhalten wichtige Sicherheitsupdates. Das InDesign-Update (APSB26-02) behebt fünf Schwachstellen, davon vier mit kritischer Bewertung. Bei Illustrator (APSB26-03) wird unter anderem eine kritische „Untrusted Search Path“-Lücke (CVE-2026-21280) geschlossen.
Sicherheitsforscher warnen, dass solche clientseitigen Schwachstellen häufig über Phishing-Kampagnen ausgenutzt werden. Angreifer tricksen Nutzer dabei aus, manipulierte Projektdateien oder Bilder zu öffnen.
Substance 3D: Fünf Anwendungen betroffen
Ein Schwerpunkt der monatlichen Updates liegt auf Adobes 3D-Tools – ein Zeichen für die wachsende Bedeutung von 3D-Workflows in der Kreativbranche. Updates gibt es für fünf Substance-3D-Anwendungen:
- Substance 3D Modeler (APSB26-08)
- Substance 3D Stager (APSB26-09)
- Substance 3D Painter (APSB26-10)
- Substance 3D Sampler (APSB26-11)
- Substance 3D Designer (APSB26-13)
Die Updates für Modeler, Stager, Painter und Sampler bewerten Sicherheitsexperten als kritisch. Sie verhindern ebenfalls die Ausführung von Fremdcode. Das Update für Substance 3D Designer gilt als „wichtig“ und behebt ein Problem mit Speicherlecks.
Warum schnelles Handeln jetzt wichtig ist
Die Adobe-Updates fallen mit dem umfangreichen Patch Tuesday von Microsoft zusammen, der über 110 Schwachstellen adressiert. Zwar sind für die Adobe-Lücken derzeit noch keine aktiven Angriffe bekannt. Doch das könnte sich schnell ändern.
„Das Fenster zwischen Veröffentlichung eines Patches und dem Auftauchen erster Exploits schrumpft stetig“, erklärt ein Analyst der Zero Day Initiative. Reverse Engineers analysierten veröffentlichte Patches oft innerhalb weniger Tage, um die zugrundeliegende Schwachstelle zu verstehen und Angriffscode zu entwickeln.
Für Unternehmen mit Creative Cloud for Teams oder Enterprise-Lizenzen empfiehlt sich eine umgehende Überprüfung der Update-Einstellungen. IT-Teams sollten die Patches noch diese Woche testen und ausrollen. Für Privatanwender gilt: Automatische Updates in der Creative Cloud Desktop-App aktivieren und die Installation nicht aufschieben.
Adobe veröffentlicht Sicherheitsupdates regulär am zweiten Dienstag jedes Monats. Der nächste geplante Release ist für Februar 2026 vorgesehen – sofern nicht außerplanmäßige Notfall-Patches notwendig werden.
PS: Viele Attacken beginnen mit Phishing-Mails, die manipulierte Dateien oder Bilder enthalten – genau wie die hier beschriebenen Angriffsvektoren. Das kostenlose Anti‑Phishing‑Paket liefert eine 4‑Schritte-Anleitung zur Erkennung und Abwehr von Phishing, Vorlagen für interne Warnmeldungen und Praxistipps zur Schulung von Kreativteams. Schützen Sie Ihre Agentur vor Social‑Engineering‑Angriffen. Anti‑Phishing‑Guide & Checkliste kostenlos anfordern
