Adobe se précipite pour corriger une faille de sécurité d'urgence dans Photoshop Creative Cloud
Adobe informe des failles critiques de Photoshop Creative Cloud le 22 août. Les chercheurs disent que ces vulnérabilités pourraient aider les pirates à permettre l'exécution de code à distance dans Photoshop[1]. Même si la sortie des correctifs n'est pas programmée, il est conseillé aux utilisateurs Windows et Mac OS de mettre à jour leurs applications immédiatement.
Les experts informatiques notent que les versions suivantes d'Adobe Photoshop CC peuvent être affectées[2]:
- Photoshop CC 2018 version 19.1.5 et antérieures ;
- Photoshop CC 2017 version 18.1.5 et versions antérieures.
Les correctifs de sécurité Adobe mettent à jour Photoshop CC 2018 et Photoshop CC 2017 vers les versions 19.1.6 et 18.1.6 sur les systèmes d'exploitation Mac et Windows. Ces mises à niveau d'urgence permettent d'éviter l'exécution de code à distance (RCE) identifiée sous les numéros CVE-2018-12810 et CVE-2018-12811[3].
Les particularités des vulnérabilités de corruption de mémoire
Selon les chercheurs, si un fichier malveillant pénétrait dans le système avec un programme Photoshop CC vulnérable, il pourrait déclencher l'exécution d'un faux code caché à l'intérieur des images. De plus, les experts en sécurité notent que l'exécution du code à distance se fait dans le contexte de l'utilisateur actuel.
Une exploitation réussie pourrait conduire à l'exécution de code arbitraire dans le contexte de l'utilisateur actuel.
Adobe remercie explicitement Kushal Arvind Shah, le chercheur en sécurité des FortiGuard Labs de Fortinet pour avoir informé de deux bogues critiques présents sur Photoshop CC[4]. De plus, le spécialiste informatique a aidé à résoudre le problème et à assurer la protection des consommateurs d'Adobe :
Adobe souhaite remercier Kushal Arvind Shah des FortiGuard Labs de Fortinet pour avoir signalé ces problèmes et pour avoir collaboré avec Adobe pour aider à protéger nos clients.
Deux correctifs n'étaient pas inclus dans le cycle du Patch Tuesday
Même si ces vulnérabilités étaient les seules signalées comme critiques, elles n'ont pas été incluses dans le cycle du Patch Tuesday avec les 70 autres publiées par Microsoft et Adobe. Le correctif publié couvrait Acrobat Reader, Experience Manager, Flash et une autre faille dans Creative Cloud.
Comme les bogues ont été répertoriés comme critiques, Adobe et d'autres chercheurs en sécurité encouragent tous les utilisateurs à mettre à jour leurs programmes dès que possible pour éviter les attaques potentielles.[5]:
Adobe recommande aux utilisateurs de mettre à jour leurs installations logicielles via le mécanisme de mise à jour de chaque application en lançant chaque l'application, en accédant au menu Aide et en cliquant sur « Mises à jour ». Pour plus d'informations, veuillez vous référer à cette aide page.