Adobe skynder sig at rette en nødsikkerhedsfejl i Photoshop Creative Cloud
Adobe informerer om kritiske fejl i Photoshop Creative Cloud den 22. august. Forskere siger, at disse sårbarheder kan hjælpe hackere med at aktivere fjernudførelse af kode i Photoshop[1]. Selvom udgivelsen af programrettelserne ikke er planlagt, rådes både Windows- og Mac OS-brugere til at opdatere deres applikationer med det samme.
IT-eksperter bemærker, at følgende versioner af Adobe Photoshop CC kan blive påvirket[2]:
- Photoshop CC 2018 version 19.1.5 og tidligere;
- Photoshop CC 2017 version 18.1.5 og tidligere.
Adobes sikkerhedsrettelser opdaterer Photoshop CC 2018 og Photoshop CC 2017 til 19.1.6 og 18.1.6 versioner på Mac- og Windows-operativsystemer. Disse nødopgraderinger hjælper med at undgå fjernudførelse af kode (RCE) identificeret under CVE-2018-12810 og CVE-2018-12811 numre[3].
De særlige kendetegn ved hukommelseskorruptionssårbarheder
Ifølge forskerne, hvis en ondsindet fil ville komme ind i systemet med et sårbart Photoshop CC-program, kunne det udløse eksekveringen af en falsk kode gemt inde i billederne. Derudover bemærker sikkerhedseksperter, at fjernudførelsen af kode er i konteksten af den aktuelle bruger.
Succesfuld udnyttelse kan føre til vilkårlig kodeudførelse i den aktuelle brugers kontekst.
Adobe takker udtrykkeligt for Kushal Arvind Shah, sikkerhedsforskeren ved Fortinets FortiGuard Labs for at informere om to kritiske fejl, der findes på Photoshop CC[4]. IT-specialisten hjalp også med at løse problemet og sikre Adobes forbrugerbeskyttelse:
Adobe vil gerne takke Kushal Arvind Shah fra Fortinets FortiGuard Labs for at rapportere disse problemer og for at arbejde sammen med Adobe for at hjælpe med at beskytte vores kunder.
To patches var ikke inkluderet i Patch Tuesday Cycle
Selvom disse sårbarheder var de eneste, der blev rapporteret som kritiske, var de ikke inkluderet i Patch Tuesday-cyklussen sammen med andre 70 udgivet af Microsoft og Adobe. Den udsendte patch dækkede Acrobat Reader, Experience Manager, Flash og en anden fejl i Creative Cloud.
Da fejlene blev anført som kritiske, opfordrer Adobe og andre sikkerhedsforskere alle brugere til at opdatere deres programmer så hurtigt som muligt for at undgå potentielle angreb[5]:
Adobe anbefaler brugere at opdatere deres softwareinstallationer via hver applikations opdateringsmekanisme ved at starte hver enkelt applikation, naviger til menuen Hjælp og klik på "Opdateringer". For mere information henvises til denne hjælp side.