Adobe бърза да коригира спешен пропуск в сигурността във Photoshop Creative Cloud
Adobe информира за критични недостатъци във Photoshop Creative Cloud на 22 август. Изследователите казват, че тези уязвимости могат да помогнат на хакерите да позволят дистанционно изпълнение на код във Photoshop[1]. Въпреки че пускането на пачовете е непланирано, потребителите на Windows и Mac OS се съветват незабавно да актуализират своите приложения.
ИТ експертите отбелязват, че следните версии на Adobe Photoshop CC може да бъдат засегнати[2]:
- Photoshop CC 2018 версия 19.1.5 и по-стара;
- Photoshop CC 2017 версия 18.1.5 и по-стара.
Корекциите за сигурност на Adobe актуализират Photoshop CC 2018 и Photoshop CC 2017 до версии 19.1.6 и 18.1.6 на операционни системи Mac и Windows. Тези спешни надстройки помагат да се избегне отдалечено изпълнение на код (RCE), идентифицирано под номера CVE-2018-12810 и CVE-2018-12811[3].
Особеностите на уязвимостите при повреда на паметта
Според изследователите, ако злонамерен файл влезе в системата с уязвима програма Photoshop CC, това може да задейства изпълнението на фалшив код, скрит в изображенията. Освен това експертите по сигурността отбелязват, че отдалеченото изпълнение на кода е в контекста на текущия потребител.
Успешната експлоатация може да доведе до произволно изпълнение на код в контекста на текущия потребител.
Adobe изрично благодари за Kushal Arvind Shah, изследователя по сигурността в FortiGuard Labs на Fortinet за информирането за две критични грешки, присъстващи във Photoshop CC[4]. Освен това ИТ специалистът помогна за разрешаването на проблема и гарантира защитата на потребителите на Adobe:
Adobe би искала да благодари на Кушал Арвинд Шах от FortiGuard Labs на Fortinet за докладването на тези проблеми и за работата с Adobe, за да помогне за защитата на нашите клиенти.
Два пластира не бяха включени в цикъла на кръпка вторник
Въпреки че тези уязвимости бяха единствените, съобщени като критични, те не бяха включени в цикъла на Patch Tuesday заедно с други 70, пуснати от Microsoft и Adobe. Издаденият пач покрива Acrobat Reader, Experience Manager, Flash и друг недостатък в Creative Cloud.
Тъй като грешките бяха изброени като критични, Adobe и други изследователи по сигурността насърчават всички потребители да актуализират своите програми възможно най-скоро, за да избегнат потенциални атаки[5]:
Adobe препоръчва на потребителите да актуализират своите софтуерни инсталации чрез механизма за актуализиране на всяко приложение, като стартират всяко приложение, като отидете до менюто „Помощ“ и щракнете върху „Актуализации“. За повече информация, моля, вижте тази помощ страница.