Rückzieher: Adobe bringt doch kostenlose Patches für Creative Suite 5.5
Adobe beugt sich nach wenigen Tage der Kritik und bringt hat nun doch kostenlose Updates für Photoshop CS5.5, Illustrator CS5.5 und Flash Professional CS5.5. Sie sollen insgesamt acht Sicherheitslücken schließen, vor denen das Unternehmen in der vergangenen Woche gewarnt hatte. Ursprünglich wollte der Hersteller die Patches nur in Form eines kostenpflichtigen Upgrades auf Creative Suite 6 zur Verfügung stellen.
“Wir sind dabei, die Sicherheitslücken in CS5.x zu beseitigen”, heißt es nun in den am Freitag aktualisierten Security Bulletins für Photoshop, Illustrator und Flash Professional.
Gegenüber ZDNet Australien sagte das Unternehmen, man sei davon ausgegangen, dass das “tatsächliche Risiko für Kunden kein außerplanmäßiges Update für diese Probleme rechtfertigt”. Es seien bisher keine Angriffe auf die Schwachstellen bekannt, so Adobe weiter. Für die Anfälligkeit in Photoshop ist laut ZDNet Australien jedoch Beispielcode im Umlauf, der es Hackern erlaubt, mit einfachen Mitteln zielgerichtete Angriffe auszuführen.
Rich Mogull, Sicherheitsanalyst bei Securosis.com, warf Adobe vor, indem es für weiterhin unterstützte Produkte keine Sicherheitsupdates bringe, Branchenregeln und Erwartungen von Kunden zu verletzen. Er sagte gegenüber Macworld: “Wenn die Produkte nicht mehr unterstützt werden, dann kann man das verstehen. Aber Adobes eigene Website zeigt, dass sie sich noch in einer aktiven Supportphase befinden.” Auch Andrew Storms, Direktor für Security Operations bei nCircle, kritisierte am Freitag in einem Interview mit Computerworld Adobes Pläne scharf: “Nach allem, was sie getan haben, um ihren Ruf im Bereich Sicherheit zu verbessern, setzen sie sich nun wieder die Narrenkappe auf.”
Wann die Fixes zur Verfügung stehen werden, hat Adobe bisher nicht mitgeteilt. Betroffen sind Photoshop, Illustrator und Flash Professional in den Versionen CS 5.5 und früher für Windows und Mac OS X. Das Risiko der Anfälligkeiten stuft Adobe als “kritisch” ein. Ein Angreifer könnte darüber die vollständige Kontrolle über ein betroffenes System übernehmen.
[mit Material von Edward Moyer, News.com]