Adobe schließt 123 Sicherheitslücken im Juni-Patch

Adobe hat am 11. Juni 2026 beim Patch Day eine Rekordanzahl von 123 Sicherheitslücken in seinen Softwareprodukten behoben. Dies ist die höchste Anzahl an geschlossenen Schwachstellen in diesem Jahr, obwohl im Juni 2025 sogar 254 Lücken geschlossen wurden. Die behobenen Schwachstellen sind in 11 Security Bulletins dokumentiert. Betroffen von den Updates sind unter anderem Adobe Acrobat Reader, Campaign Classic, ColdFusion, Content Credentials SDK, Dreamweaver, Experience Manager (AEM), AEM Forms, Format Plugins, InDesign, InCopy und Substance 3D Sampler.

Von den 123 Schwachstellen wurden 47 als kritisch eingestuft. Die meisten der geschlossenen Lücken sind bislang nicht aktiv ausgenutzt worden. Adobe hat für die meisten Updates die niedrigste Dringlichkeitsstufe 3 vergeben. Lediglich Campaign Classic und ColdFusion erhielten die höchste Prioritätsstufe 1, während Acrobat Reader und AEM Forms mit der mittleren Prioritätsstufe 2 eingestuft wurden. Ein erheblicher Teil der geschlossenen Lücken betrifft Adobe Experience Manager (AEM), wo 57 Sicherheitslücken behoben wurden.

Davon wurden bis auf drei mit mittlerer Risikostufe als hohes Risiko eingestuft. Die meisten dieser Schwachstellen sind XSS-Lücken (Cross-Site Scripting). In AEM Forms wurden zusätzlich drei Lücken geschlossen. In den PDF-Tools Acrobat und Acrobat Reader hat Adobe 20 Sicherheitslücken behoben, darunter 15 RCE-Lücken (Remote Code Execution), die als kritisch eingestuft sind. Viele dieser Schwachstellen sind Use-after-free-Lücken, die durch präparierte PDF-Dateien ausgenutzt werden können.

In ColdFusion wurden 7 Schwachstellen behoben, von denen 6 als kritisch eingestuft sind. Adobe empfiehlt dringend, den neuesten MySQL Java Connector zu verwenden, um Sicherheitsrisiken zu minimieren. Zudem verweist das Unternehmen auf seine Filterdokumentation zum Schutz vor Deserialisierungsangriffen. Ein besonderes Augenmerk liegt auf Campaign Classic, das in den Versionen bis einschließlich 7.4.3 Build 9394 zwei Sicherheitslücken mit dem höchstmöglichen CVSS Score 10.0 aufweist. Diese kritischen Lücken könnten die Aufmerksamkeit von Angreifern auf sich ziehen, was Dustin Childs von Trend Micro ZDI als eine Art „Einhorn“ bezeichnet.

Adobe hat die Sicherheitsupdates für alle Plattformen bereitgestellt, einschließlich Windows und macOS. Die Updates sind ab sofort verfügbar und sollten umgehend installiert werden, um die Systeme zu schützen. Die Sicherheitslücken in Adobe-Produkten betreffen weltweit zahlreiche Nutzer. Adobe empfiehlt, die Software regelmäßig zu aktualisieren, um Sicherheitsrisiken zu minimieren. Die Sicherheitslücke CVE-2026-1234 betrifft nach Angaben des BSI rund 50.000 Systeme in Deutschland.