Adobe修复了其Creative Cloud中可致任意文件删除的严重漏洞

2020-03-25 33940人围观 ,发现 3 个不明物体 资讯

近日,Adobe修复了Windows版Creative Cloud桌面应用程序的一个严重漏洞,发布了带外安全更新,对漏洞进行修复。该漏洞编号为CVE-2020-3808,攻击者可以利用该漏洞从运行的Creative Cloud客户端进入Windows计算机系统,删除特定任意文件。

adobe-patch.jpg

Adobe在周二发布的公告中说:“成功利用漏洞可能导致当前用户上下文中的任意文件删除。  Adobe建议用户按照安全公告中引用的说明将其产品安装更新到最新版本。”

微信图片_20200325133649.png

Adobe Creative Cloud或Adobe CC是一项订阅服务,大约有1500万的订阅户,主要提供的服务是可以快速启动、管理和更新公司开发的全套流行创意软件,包括Photoshop,Illustrator,Premiere Pro,InDesign,Lightroom等,这些软件可在台式机和移动设备使用。

受到此次漏洞特别影响的是Creative Cloud桌面应用程序版本5.0及更早版本。Adobe已在应用程序的5.1版中进行了必要的修复。

该漏洞(CVE-2020-3808)是因为检查时间到使用时间(TOCTOU)的竞争状况(race condition)出现问题。当两个或多个系统操作可以访问共享数据,并且它们试图同时更改它们时,就会发生争用情况。这种特殊的竞争条件类型涉及检查系统一部分的状态(例如安全凭证),并使用同时执行的检查结果。

如果被利用,该漏洞可能导致任意文件删除,从而允许攻击者删除某些关键文件。此外,Adobe并未提供有关攻击的更多详细信息,例如攻击者是否需要在本地还是远程,或者是否需要通过身份验证。

根据Adobe的说法,该漏洞的安全升级是“优先级2”的更新。这意味着它可以解决历史上风险较高的产品中的漏洞,但目前尚无已知漏洞。

“根据以往的经验,我们预计攻击不会立即出现。但是防患于未然,Adobe建议管理员(在30天内)尽快安装更新。”

这是三月份Adobe的第二次带外更新。上周,Adobe披露了一个更新程序,该更新程序解决了其Photoshop和Acrobat Reader产品中的关键漏洞,如果加以利用,则可以允许任意代码执行。总体而言,Adobe上周修补了其产品中与41个CVE相关漏洞,其中29个漏洞威胁程度达到“严重”。这些修补程序并不是在Adobe的定期计划更新日(3月初,因为Adobe没有补丁程序)发布的。

去年10月,Adobe Creative Cloud曾因为一个严重漏洞而致750万用户数据泄露,泄露的数据库缓存大小接近86GB,公开的信息包括用户的电子邮件、账号创建日期、订阅状态、支付状态等。

*参考来源:Threatpost,Sandra1432编译,转载请注明来自FreeBuf.COM

相关推荐
发表评论

已有 3 条评论

取消
Loading...
Sandra1432

这家伙太懒,还未填写个人描述!

166 文章数 2 评论数 15 关注者

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php