Adobe hiti odpraviti varnostno napako v sili v Photoshop Creative Cloud
Adobe obvešča o kritičnih napakah v Photoshop Creative Cloud 22. avgusta. Raziskovalci pravijo, da bi te ranljivosti lahko hekerjem pomagale omogočiti oddaljeno izvajanje kode v Photoshopu[1]. Čeprav izdaja popravkov ni načrtovana, uporabnikom operacijskega sistema Windows in Mac OS svetujemo, naj svoje aplikacije takoj posodobijo.
Strokovnjaki za IT ugotavljajo, da bi to lahko vplivalo na naslednje različice programa Adobe Photoshop CC[2]:
- Photoshop CC 2018 različica 19.1.5 in starejše;
- Photoshop CC 2017 različice 18.1.5 in starejše.
Varnostni popravki Adobe posodabljajo Photoshop CC 2018 in Photoshop CC 2017 na različici 19.1.6 in 18.1.6 v operacijskih sistemih Mac in Windows. Te nadgradnje v sili pomagajo preprečiti oddaljeno izvajanje kode (RCE), identificirano pod številkami CVE-2018-12810 in CVE-2018-12811[3].
Posebnosti ranljivosti zaradi poškodbe spomina
Po mnenju raziskovalcev, če bi zlonamerna datoteka vstopila v sistem z ranljivim programom Photoshop CC, bi lahko sprožila izvedbo lažne kode, skrite znotraj slik. Poleg tega strokovnjaki za varnost ugotavljajo, da je oddaljeno izvajanje kode v kontekstu trenutnega uporabnika.
Uspešno izkoriščanje lahko privede do izvajanja poljubne kode v kontekstu trenutnega uporabnika.
Adobe se izrecno zahvaljuje Kushalu Arvindu Shahu, varnostnemu raziskovalcu v Fortinetovem laboratoriju FortiGuard Labs za obveščanje o dveh kritičnih napakah, prisotnih v Photoshopu CC.[4]. Poleg tega je strokovnjak za IT pomagal rešiti težavo in zagotovil zaščito potrošnikov Adobe:
Adobe se zahvaljuje Kushalu Arvindu Shahu iz Fortinetovega laboratorija FortiGuard Labs za poročanje o teh težavah in za sodelovanje z Adobejem pri zaščiti naših strank.
Dva popravka nista bila vključena v torkov cikel popravkov
Čeprav so bile te ranljivosti edine, o katerih so poročali kot kritične, niso bile vključene v cikel popravkov v torek skupaj z drugimi 70, ki sta jih izdala Microsoft in Adobe. Izdani popravki so pokrivali Acrobat Reader, Experience Manager, Flash in drugo napako v Creative Cloud.
Ker so bile napake navedene kot kritične, Adobe in drugi varnostni raziskovalci spodbujajo vse uporabnike, naj čim prej posodobijo svoje programe, da se izognejo morebitnim napadom.[5]:
Adobe priporoča uporabnikom, da posodobijo svoje namestitve programske opreme prek mehanizma za posodobitev vsake aplikacije, tako da zaženejo vsako aplikacijo, se pomaknite do menija Pomoč in kliknite »Posodobitve«. Za več informacij si oglejte to pomoč stran.