Adobe se apresura a corregir una falla de seguridad de emergencia en Photoshop Creative Cloud
Adobe emite un parche de vulnerabilidad no programado para Photoshop CC.
Adobe informa sobre fallas críticas en Photoshop Creative Cloud el 22 de agosto. Los investigadores dicen que estas vulnerabilidades podrían ayudar a los piratas informáticos a permitir la ejecución remota de código en Photoshop[1]. Aunque el lanzamiento de los parches no está programado, se recomienda a los usuarios de Windows y Mac OS que actualicen sus aplicaciones de inmediato.
Los expertos en TI señalan que las siguientes versiones de Adobe Photoshop CC podrían verse afectadas[2]:
- Photoshop CC 2018 versión 19.1.5 y anteriores;
- Photoshop CC 2017 versión 18.1.5 y anteriores.
Los parches de seguridad de Adobe actualizan Photoshop CC 2018 y Photoshop CC 2017 a las versiones 19.1.6 y 18.1.6 en los sistemas operativos Mac y Windows. Estas actualizaciones de emergencia ayudan a evitar la ejecución remota de código (RCE) identificado con los números CVE-2018-12810 y CVE-2018-12811[3].
Las peculiaridades de las vulnerabilidades de corrupción de memoria
Según los investigadores, si un archivo malicioso ingresara al sistema con un programa Photoshop CC vulnerable, podría desencadenar la ejecución de un código falso oculto dentro de las imágenes. Además, los expertos en seguridad señalan que la ejecución remota del código se realiza en el contexto del usuario actual.
La explotación exitosa podría conducir a la ejecución de código arbitrario en el contexto del usuario actual.
Adobe agradece explícitamente a Kushal Arvind Shah, el investigador de seguridad de FortiGuard Labs de Fortinet por informar sobre dos errores críticos presentes en Photoshop CC[4]. Además, el especialista en TI ayudó a resolver el problema y garantizar la protección del consumidor de Adobe:
Adobe desea agradecer a Kushal Arvind Shah de FortiGuard Labs de Fortinet por informar estos problemas y por trabajar con Adobe para ayudar a proteger a nuestros clientes.
Dos parches no se incluyeron en el ciclo de martes de parches
Aunque estas vulnerabilidades fueron las únicas reportadas como críticas, no se incluyeron en el ciclo Patch Tuesday junto con otras 70 lanzadas por Microsoft y Adobe. El parche emitido cubría Acrobat Reader, Experience Manager, Flash y otra falla en Creative Cloud.
Dado que los errores se clasificaron como críticos, Adobe y otros investigadores de seguridad alientan a todos los usuarios a actualizar sus programas lo antes posible para evitar posibles ataques.[5]:
Adobe recomienda a los usuarios que actualicen sus instalaciones de software a través del mecanismo de actualización de cada aplicación al iniciar cada aplicación, navegando hasta el menú Ayuda y haciendo clic en "Actualizaciones". Para obtener más información, consulte esta ayuda. página.