Adobe si affretta a correggere un difetto di sicurezza di emergenza in Photoshop Creative Cloud
Adobe informa sui difetti critici in Photoshop Creative Cloud il 22 agosto. I ricercatori affermano che queste vulnerabilità potrebbero aiutare gli hacker a consentire l'esecuzione di codice in modalità remota in Photoshop[1]. Anche se il rilascio delle patch non è pianificato, si consiglia agli utenti di Windows e Mac OS di aggiornare immediatamente le proprie applicazioni.
Gli esperti IT notano che le seguenti versioni di Adobe Photoshop CC potrebbero essere interessate[2]:
- Photoshop CC 2018 versione 19.1.5 e precedenti;
- Photoshop CC 2017 versione 18.1.5 e precedenti.
Le patch di sicurezza di Adobe aggiornano Photoshop CC 2018 e Photoshop CC 2017 alle versioni 19.1.6 e 18.1.6 sui sistemi operativi Mac e Windows. Questi aggiornamenti di emergenza aiutano a evitare l'esecuzione di codice remoto (RCE) identificato con i numeri CVE-2018-12810 e CVE-2018-12811[3].
Le peculiarità delle vulnerabilità alla corruzione della memoria
Secondo i ricercatori, se un file dannoso entrasse nel sistema con un programma Photoshop CC vulnerabile, potrebbe innescare l'esecuzione di un codice fasullo nascosto all'interno delle immagini. Inoltre, gli esperti di sicurezza notano che l'esecuzione del codice remoto avviene nel contesto dell'utente corrente.
Lo sfruttamento riuscito potrebbe portare all'esecuzione di codice arbitrario nel contesto dell'utente corrente.
Adobe ringrazia esplicitamente per Kushal Arvind Shah, il ricercatore di sicurezza presso i FortiGuard Labs di Fortinet per aver informato su due bug critici presenti su Photoshop CC[4]. Inoltre, lo specialista IT ha aiutato a risolvere il problema e a garantire la protezione dei consumatori di Adobe:
Adobe desidera ringraziare Kushal Arvind Shah dei FortiGuard Labs di Fortinet per aver segnalato questi problemi e per aver collaborato con Adobe per proteggere i nostri clienti.
Due patch non sono state incluse nel Patch Tuesday Cycle
Anche se queste vulnerabilità sono state le uniche segnalate come critiche, non sono state incluse nel ciclo del Patch Tuesday insieme ad altre 70 rilasciate da Microsoft e Adobe. La patch rilasciata copriva Acrobat Reader, Experience Manager, Flash e un altro difetto in Creative Cloud.
Poiché i bug sono stati elencati come critici, Adobe e altri ricercatori sulla sicurezza incoraggiano tutti gli utenti ad aggiornare i propri programmi il prima possibile per evitare potenziali attacchi[5]:
Adobe consiglia agli utenti di aggiornare le proprie installazioni software tramite il meccanismo di aggiornamento di ciascuna applicazione avviando ciascuna dell'applicazione, accedendo al menu Guida e facendo clic su "Aggiornamenti". Per ulteriori informazioni, fare riferimento a questo aiuto pagina.