אדובי ממהרת לתקן ליקוי אבטחה חירום ב-Photoshop Creative Cloud
Adobe מודיעה על פגמים קריטיים ב-Photoshop Creative Cloud ב-22 באוגוסט. חוקרים אומרים שפגיעויות אלו יכולות לעזור להאקרים לאפשר ביצוע קוד מרחוק בפוטושופ[1]. למרות שההפצה של התיקונים אינה מתוכננת, למשתמשי Windows ו-Mac OS מומלץ לעדכן את היישומים שלהם באופן מיידי.
מומחי IT מציינים שהגרסאות הבאות של Adobe Photoshop CC עשויות להיות מושפעות[2]:
- Photoshop CC 2018 גרסה 19.1.5 ומעלה;
- Photoshop CC 2017 גרסה 18.1.5 ואילך.
תיקוני האבטחה של Adobe מעדכנים את Photoshop CC 2018 ו-Photoshop CC 2017 לגירסאות 19.1.6 ו-18.1.6 במערכות ההפעלה Mac ו-Windows. שדרוגי חירום אלו עוזרים להימנע מביצוע קוד מרחוק (RCE) המזוהה תחת מספרי CVE-2018-12810 ו-CVE-2018-12811[3].
המוזרויות של פגיעויות של שחיתות זיכרון
לטענת החוקרים, אם קובץ זדוני ייכנס למערכת עם תוכנת Photoshop CC פגיעה, הוא עלול לעורר ביצוע של קוד מזויף החבוי בתוך התמונות. בנוסף, מומחי אבטחה מציינים שביצוע הקוד מרחוק הוא בהקשר של המשתמש הנוכחי.
ניצול מוצלח עלול להוביל לביצוע קוד שרירותי בהקשר של המשתמש הנוכחי.
אדובי מודה במפורש לקושל ארווינד שאה, חוקר האבטחה במעבדות FortiGuard של Fortinet על דיווח על שני באגים קריטיים ב-Photoshop CC[4]. כמו כן, מומחה ה-IT עזר לפתור את הבעיה ולהבטיח את הגנת הצרכן של Adobe:
אדובי רוצה להודות ל-Kushal Arvind Shah ממעבדות FortiGuard של Fortinet על הדיווח על בעיות אלו ועל העבודה עם Adobe כדי לסייע בהגנה על הלקוחות שלנו.
שני תיקונים לא נכללו ב-Pach Tuesday Cycle
למרות שפגיעויות אלו היו היחידות שדווחו כקריטיות, הן לא נכללו במחזור ה-Patch Tuesday יחד עם 70 נקודות תור אחרות שפורסמו על ידי מיקרוסופט ואדובי. התיקון שהופץ כיסה את Acrobat Reader, Experience Manager, Flash ועוד פגם ב-Creative Cloud.
מאחר שהבאגים נרשמו כקריטיים, אדובי וחוקרי אבטחה אחרים מעודדים את כל המשתמשים לעדכן את התוכניות שלהם בהקדם האפשרי כדי למנוע התקפות אפשריות[5]:
Adobe ממליצה למשתמשים לעדכן את התקנות התוכנה שלהם באמצעות מנגנון העדכון של כל יישום על ידי הפעלת כל אחת מהן יישום, ניווט לתפריט עזרה ולחיצה על "עדכונים". למידע נוסף, עיין בעזרה זו עמוד.