Adobe julkaisee Photoshop CC: n hätätietoturvakorjauksen

Adobe kiirehtii korjaamaan Photoshop Creative Cloudin hätäturvavirheen

Photoshop CC: n kriittinen virhekorjausAdobe julkaisee suunnittelemattoman haavoittuvuuskorjauksen Photoshop CC: lle.

Adobe tiedottaa Photoshop Creative Cloudin kriittisistä puutteista 22. elokuuta. Tutkijat sanovat, että nämä haavoittuvuudet voivat auttaa hakkereita mahdollistamaan koodin etäsuorittamisen Photoshopissa[1]. Vaikka korjaustiedostojen julkaisu on odottamaton, sekä Windows- että Mac OS -käyttäjiä kehotetaan päivittämään sovelluksensa välittömästi.

IT-asiantuntijat huomauttavat, että tämä saattaa vaikuttaa seuraaviin Adobe Photoshop CC -versioihin[2]:

  • Photoshop CC 2018 versio 19.1.5 ja sitä vanhempi;
  • Photoshop CC 2017 versio 18.1.5 ja sitä vanhempi.

Adoben tietoturvakorjaukset päivittävät Photoshop CC 2018:n ja Photoshop CC 2017:n 19.1.6- ja 18.1.6-versioihin Mac- ja Windows-käyttöjärjestelmissä. Nämä hätäpäivitykset auttavat välttämään koodin etäsuorittamisen (RCE), jotka on tunnistettu numeroilla CVE-2018-12810 ja CVE-2018-12811[3].

Muistin korruption haavoittuvuuksien erityispiirteet

Tutkijoiden mukaan, jos haitallinen tiedosto pääsisi järjestelmään haavoittuvalla Photoshop CC -ohjelmalla, se voi laukaista kuvien sisällä piilotetun väärän koodin suorittamisen. Lisäksi tietoturvaasiantuntijat huomauttavat, että koodin etäsuoritus tapahtuu nykyisen käyttäjän kontekstissa.

Onnistunut hyväksikäyttö voi johtaa mielivaltaiseen koodin suorittamiseen nykyisen käyttäjän kontekstissa.

Adobe kiittää erityisesti Kushal Arvind Shahia, Fortinetin FortiGuard Labsin tietoturvatutkijaa, joka ilmoitti kahdesta Photoshop CC: n kriittisestä viasta.[4]. Lisäksi IT-asiantuntija auttoi ratkaisemaan ongelman ja varmistamaan Adoben kuluttajansuojan:

Adobe haluaa kiittää Kushal Arvind Shahia Fortinetin FortiGuard Labsista näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa asiakkaidemme suojaamiseksi.

Kaksi korjaustiedostoa ei sisällytetty korjaustiistaisykliin

Vaikka nämä haavoittuvuudet olivat ainoita, jotka ilmoitettiin kriittisiksi, niitä ei sisällytetty korjauspäivitystiistaijaksoon muiden 70 Microsoftin ja Adoben julkaisemien haavoittuvuuksien ohella. Julkaistu korjaus kattoi Acrobat Readerin, Experience Managerin, Flashin ja toisen virheen Creative Cloudissa.

Koska virheet luokiteltiin kriittisiksi, Adobe ja muut tietoturvatutkijat kehottavat kaikkia käyttäjiä päivittämään ohjelmansa mahdollisimman pian mahdollisten hyökkäysten välttämiseksi.[5]:

Adobe suosittelee käyttäjiä päivittämään ohjelmistoasennuksensa jokaisen sovelluksen päivitysmekanismin kautta käynnistämällä kunkin sovelluksen sovellus, siirry Ohje-valikkoon ja napsauta "Päivitykset". Lisätietoja saat tästä ohjeesta sivu.