Firma Adobe spieszy się, aby naprawić awaryjną lukę w zabezpieczeniach programu Photoshop Creative Cloud
Adobe informuje o krytycznych błędach w Photoshop Creative Cloud 22 sierpnia. Badacze twierdzą, że te luki mogą pomóc hakerom w zdalnym wykonaniu kodu w Photoshopie[1]. Mimo że wydanie łatek jest nieplanowane, użytkownicy systemów Windows i Mac OS powinni natychmiast zaktualizować swoje aplikacje.
Eksperci informatycy zauważają, że może to dotyczyć następujących wersji programu Adobe Photoshop CC[2]:
- Photoshop CC 2018 w wersji 19.1.5 i wcześniejszych;
- Photoshop CC 2017 w wersji 18.1.5 i wcześniejszych.
Poprawki zabezpieczeń firmy Adobe aktualizują wersje programów Photoshop CC 2018 i Photoshop CC 2017 do wersji 19.1.6 i 18.1.6 w systemach operacyjnych Mac i Windows. Te awaryjne aktualizacje pomagają uniknąć zdalnego wykonania kodu (RCE) zidentyfikowanego pod numerami CVE-2018-12810 i CVE-2018-12811[3].
Specyfika luk w zabezpieczeniach związanych z uszkodzeniem pamięci
Według naukowców, jeśli złośliwy plik dostanie się do systemu za pomocą podatnego na ataki programu Photoshop CC, może to spowodować wykonanie fałszywego kodu ukrytego w obrazach. Dodatkowo eksperci ds. bezpieczeństwa zauważają, że zdalne wykonanie kodu odbywa się w kontekście bieżącego użytkownika.
Udana eksploatacja może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika.
Firma Adobe wyraźnie dziękuje Kushalowi Arvindowi Shahowi, badaczowi bezpieczeństwa z FortiGuard Labs firmy Fortinet za poinformowanie o dwóch krytycznych błędach występujących w programie Photoshop CC[4]. Ponadto specjalista IT pomógł rozwiązać problem i zapewnić ochronę konsumenta Adobe:
Firma Adobe pragnie podziękować Kushalowi Arvindowi Shahowi z FortiGuard Labs firmy Fortinet za zgłoszenie tych problemów i współpracę z firmą Adobe w celu ochrony naszych klientów.
Dwie łatki nie zostały uwzględnione w cyklu łat we wtorek
Mimo że te luki były jedynymi, które zostały zgłoszone jako krytyczne, nie zostały uwzględnione w cyklu Patch Tuesday wraz z innymi 70 lukami wydanymi przez Microsoft i Adobe. Wydane łaty obejmowały Acrobat Reader, Experience Manager, Flash i kolejną lukę w Creative Cloud.
Ponieważ błędy zostały wymienione jako krytyczne, Adobe i inni badacze bezpieczeństwa zachęcają wszystkich użytkowników do jak najszybszej aktualizacji swoich programów, aby uniknąć potencjalnych ataków[5]:
Firma Adobe zaleca użytkownikom aktualizowanie instalacji oprogramowania za pomocą mechanizmu aktualizacji każdej aplikacji poprzez uruchomienie każdego aplikacji, przechodząc do menu Pomoc i klikając „Aktualizacje”. Aby uzyskać więcej informacji, skorzystaj z tej pomocy strona.