Adobe se grăbește să remedieze o defecțiune de securitate în caz de urgență în Photoshop Creative Cloud
Adobe informează despre defecte critice în Photoshop Creative Cloud pe 22 august. Cercetătorii spun că aceste vulnerabilități ar putea ajuta hackerii să activeze execuția codului de la distanță în Photoshop[1]. Chiar dacă lansarea patch-urilor este neprogramată, atât utilizatorii Windows, cât și Mac OS sunt sfătuiți să-și actualizeze aplicațiile imediat.
Experții IT notează că următoarele versiuni de Adobe Photoshop CC ar putea fi afectate[2]:
- Photoshop CC 2018 versiunea 19.1.5 și versiuni anterioare;
- Photoshop CC 2017 versiunea 18.1.5 și versiuni anterioare.
Patch-urile de securitate Adobe actualizează Photoshop CC 2018 și Photoshop CC 2017 la versiunile 19.1.6 și 18.1.6 pe sistemele de operare Mac și Windows. Aceste actualizări de urgență ajută la evitarea execuției codului de la distanță (RCE) identificate sub numerele CVE-2018-12810 și CVE-2018-12811[3].
Particularitățile vulnerabilităților de corupție a memoriei
Potrivit cercetătorilor, dacă un fișier rău intenționat ar intra în sistem cu un program Photoshop CC vulnerabil, ar putea declanșa execuția unui cod fals ascuns în interiorul imaginilor. În plus, experții în securitate notează că execuția codului de la distanță este în contextul utilizatorului actual.
Exploatarea cu succes ar putea duce la executarea unui cod arbitrar în contextul utilizatorului actual.
Adobe îi mulțumește în mod explicit lui Kushal Arvind Shah, cercetătorul de securitate de la FortiGuard Labs de la Fortinet, pentru că a informat despre două erori critice prezente pe Photoshop CC[4]. De asemenea, specialistul IT a ajutat la rezolvarea problemei și la asigurarea protecției consumatorilor Adobe:
Adobe dorește să mulțumească lui Kushal Arvind Shah de la FortiGuard Labs de la Fortinet pentru raportarea acestor probleme și pentru colaborarea cu Adobe pentru a ajuta la protejarea clienților noștri.
Două patch-uri nu au fost incluse în ciclul Patch Tuesday
Chiar dacă aceste vulnerabilități au fost singurele raportate ca critice, ele nu au fost incluse în ciclul Patch Tuesday împreună cu alte 70 de vulnerabilități lansate de Microsoft și Adobe. Patch-ul emis a acoperit Acrobat Reader, Experience Manager, Flash și un alt defect în Creative Cloud.
Deoarece erorile au fost enumerate ca fiind critice, Adobe și alți cercetători de securitate încurajează toți utilizatorii să-și actualizeze programele cât mai curând posibil pentru a evita potențialele atacuri.[5]:
Adobe recomandă utilizatorilor să-și actualizeze instalările de software prin intermediul mecanismului de actualizare al fiecărei aplicații, lansând fiecare aplicație, navigând la meniul Ajutor și făcând clic pe „Actualizări”. Pentru mai multe informații, consultați acest ajutor pagină.