Adobe se apressa para consertar uma falha de segurança de emergência no Photoshop Creative Cloud
Adobe informa sobre falhas críticas no Photoshop Creative Cloud em 22 de agosto. Os pesquisadores dizem que essas vulnerabilidades podem ajudar os hackers a permitir a execução remota de código no Photoshop[1]. Mesmo que o lançamento dos patches não seja agendado, os usuários do Windows e do Mac OS são aconselhados a atualizar seus aplicativos imediatamente.
Os especialistas em TI observam que as seguintes versões do Adobe Photoshop CC podem ser afetadas[2]:
- Photoshop CC 2018 versão 19.1.5 e anterior;
- Photoshop CC 2017 versão 18.1.5 e anterior.
Os patches de segurança da Adobe atualizam o Photoshop CC 2018 e o Photoshop CC 2017 para as versões 19.1.6 e 18.1.6 nos sistemas operacionais Mac e Windows. Essas atualizações de emergência ajudam a evitar a execução remota de código (RCE) identificada nos números CVE-2018-12810 e CVE-2018-12811[3].
As peculiaridades das vulnerabilidades de corrupção de memória
De acordo com os pesquisadores, se um arquivo malicioso entrar no sistema com um programa Photoshop CC vulnerável, isso pode desencadear a execução de um código falso escondido dentro das imagens. Além disso, os especialistas em segurança observam que a execução remota de código está no contexto do usuário atual.
A exploração bem-sucedida pode levar à execução arbitrária de código no contexto do usuário atual.
A Adobe agradece explicitamente a Kushal Arvind Shah, o pesquisador de segurança do FortiGuard Labs da Fortinet, por informar sobre dois bugs críticos presentes no Photoshop CC[4]. Além disso, o especialista em TI ajudou a resolver o problema e garantir a proteção do consumidor da Adobe:
A Adobe gostaria de agradecer a Kushal Arvind Shah, do FortiGuard Labs da Fortinet, por relatar esses problemas e por trabalhar com a Adobe para ajudar a proteger nossos clientes.
Dois patches não foram incluídos no ciclo de Patch Tuesday
Mesmo que essas vulnerabilidades tenham sido as únicas relatadas como críticas, elas não foram incluídas no ciclo Patch Tuesday junto com outras 70 lançadas pela Microsoft e Adobe. O patch emitido cobriu Acrobat Reader, Experience Manager, Flash e outra falha na Creative Cloud.
Como os bugs foram listados como críticos, a Adobe e outros pesquisadores de segurança incentivam todos os usuários a atualizar seus programas o mais rápido possível para evitar ataques em potencial[5]:
A Adobe recomenda que os usuários atualizem suas instalações de software por meio do mecanismo de atualização de cada aplicativo, iniciando cada, navegando até o menu Ajuda e clicando em “Atualizações”. Para obter mais informações, consulte esta ajuda página.