Adobe haast zich om een noodbeveiligingsfout in Photoshop Creative Cloud op te lossen
Adobe informeert op 22 augustus over kritieke gebreken in Photoshop Creative Cloud. Onderzoekers zeggen dat deze kwetsbaarheden hackers kunnen helpen om externe code-uitvoering in Photoshop mogelijk te maken[1]. Hoewel de release van de patches ongepland is, wordt zowel Windows- als Mac OS-gebruikers geadviseerd om hun applicaties onmiddellijk bij te werken.
IT-experts merken op dat de volgende versies van Adobe Photoshop CC mogelijk worden beïnvloed[2]:
- Photoshop CC 2018 versie 19.1.5 en eerder;
- Photoshop CC 2017 versie 18.1.5 en eerder.
Adobe-beveiligingspatches updaten Photoshop CC 2018 en Photoshop CC 2017 naar 19.1.6- en 18.1.6-versies op Mac- en Windows-besturingssystemen. Deze noodupgrades helpen voorkomen dat externe code wordt uitgevoerd (RCE), geïdentificeerd onder CVE-2018-12810- en CVE-2018-12811-nummers[3].
De eigenaardigheden van kwetsbaarheden voor geheugenbeschadiging
Als een kwaadaardig bestand het systeem zou binnendringen met een kwetsbaar Photoshop CC-programma, zou dit volgens de onderzoekers de uitvoering van een valse code kunnen activeren die in de afbeeldingen verborgen is. Bovendien merken beveiligingsexperts op dat de uitvoering van externe code plaatsvindt in de context van de huidige gebruiker.
Succesvolle exploitatie kan leiden tot het uitvoeren van willekeurige code in de context van de huidige gebruiker.
Adobe bedankt uitdrukkelijk voor Kushal Arvind Shah, de beveiligingsonderzoeker bij Fortinet's FortiGuard Labs voor het informeren over twee kritieke bugs in Photoshop CC[4]. De IT-specialist heeft ook geholpen om het probleem op te lossen en de Adobe-consumentenbescherming te waarborgen:
Adobe bedankt Kushal Arvind Shah van Fortinet's FortiGuard Labs voor het melden van deze problemen en voor het samenwerken met Adobe om onze klanten te helpen beschermen.
Twee patches waren niet opgenomen in de Patch Tuesday Cycle
Hoewel deze kwetsbaarheden de enige waren die als kritiek werden gerapporteerd, werden ze niet opgenomen in de Patch Tuesday-cyclus, samen met andere 70 die zijn vrijgegeven door Microsoft en Adobe. De uitgegeven patch omvatte Acrobat Reader, Experience Manager, Flash en nog een fout in de Creative Cloud.
Aangezien de bugs als kritiek werden vermeld, moedigen Adobe en andere beveiligingsonderzoekers alle gebruikers aan om hun programma's zo snel mogelijk bij te werken om mogelijke aanvallen te voorkomen[5]:
Adobe raadt gebruikers aan om hun software-installaties bij te werken via het updatemechanisme van elke applicatie door elke te starten applicatie, ga naar het Help-menu en klik op "Updates". Raadpleeg deze help voor meer informatie bladzijde.