„Adobe“ skuba ištaisyti avarinį „Photoshop Creative Cloud“ saugos trūkumą
„Adobe“ išleidžia neplanuotą „Photoshop CC“ pažeidžiamumo pataisą.
„Adobe“ rugpjūčio 22 d. praneša apie esminius „Photoshop Creative Cloud“ trūkumus. Tyrėjai teigia, kad šios spragos gali padėti įsilaužėliams įgalinti nuotolinį kodo vykdymą „Photoshop“.[1]. Nors pataisų išleidimas neplanuotas, tiek Windows, tiek Mac OS naudotojams patariama nedelsiant atnaujinti programas.
IT ekspertai pastebi, kad gali būti paveiktos toliau nurodytos „Adobe Photoshop CC“ versijos[2]:
- Photoshop CC 2018 versija 19.1.5 ir senesnė;
- Photoshop CC 2017 18.1.5 ir senesnės versijos.
„Adobe“ saugos pataisos atnaujina „Photoshop CC 2018“ ir „Photoshop CC 2017“ iki 19.1.6 ir 18.1.6 versijų „Mac“ ir „Windows“ operacinėse sistemose. Šie avariniai naujinimai padeda išvengti nuotolinio kodo vykdymo (RCE), identifikuoto CVE-2018-12810 ir CVE-2018-12811 numeriais.[3].
Atminties korupcijos pažeidžiamumo ypatumai
Tyrėjų teigimu, jei kenkėjiškas failas patektų į sistemą su pažeidžiama Photoshop CC programa, jis gali suaktyvinti vaizduose paslėpto netikro kodo vykdymą. Be to, saugumo ekspertai pažymi, kad nuotolinis kodo vykdymas yra dabartinio vartotojo kontekste.
Sėkmingas išnaudojimas gali sukelti savavališką kodo vykdymą dabartinio vartotojo kontekste.
„Adobe“ nuoširdžiai dėkoja Kushal Arvind Shah, „Fortinet's FortiGuard Labs“ saugumo tyrinėtojui, už informavimą apie dvi svarbias „Photoshop CC“ klaidas.[4]. Taip pat IT specialistas padėjo išspręsti problemą ir užtikrinti „Adobe“ vartotojų apsaugą:
„Adobe“ norėtų padėkoti Kushal Arvind Shah iš „Fortinet's FortiGuard Labs“ už pranešimą apie šias problemas ir už bendradarbiavimą su „Adobe“, kad padėtų apsaugoti savo klientus.
Du pleistrai nebuvo įtraukti į pleistrų antradienio ciklą
Nors pranešta, kad šie pažeidžiamumai buvo vieninteliai kritiški, jie nebuvo įtraukti į „Pataisymo antradienio“ ciklą kartu su kitais 70 „Microsoft“ ir „Adobe“ išleistų pažeidžiamumų. Išleistas pataisymas apėmė „Acrobat Reader“, „Experience Manager“, „Flash“ ir dar vieną „Creative Cloud“ trūkumą.
Kadangi klaidos buvo nurodytos kaip kritinės, „Adobe“ ir kiti saugumo tyrinėtojai ragina visus vartotojus kuo greičiau atnaujinti savo programas, kad būtų išvengta galimų atakų.[5]:
„Adobe“ rekomenduoja vartotojams atnaujinti programinės įrangos diegimą naudojant kiekvienos programos atnaujinimo mechanizmą, paleidžiant kiekvieną programą programą, eikite į žinyno meniu ir spustelėkite „Atnaujinimai“. Norėdami gauti daugiau informacijos, žr. šią žinyną puslapį.