freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Adobe修复了其Creative Cloud中可致任意文件删除的严重漏洞
2020-03-25 13:40:10

近日,Adobe修复了Windows版Creative Cloud桌面应用程序的一个严重漏洞,发布了带外安全更新,对漏洞进行修复。该漏洞编号为CVE-2020-3808,攻击者可以利用该漏洞从运行的Creative Cloud客户端进入Windows计算机系统,删除特定任意文件。

adobe-patch.jpg

Adobe在周二发布的公告中说:“成功利用漏洞可能导致当前用户上下文中的任意文件删除。  Adobe建议用户按照安全公告中引用的说明将其产品安装更新到最新版本。”

微信图片_20200325133649.png

Adobe Creative Cloud或Adobe CC是一项订阅服务,大约有1500万的订阅户,主要提供的服务是可以快速启动、管理和更新公司开发的全套流行创意软件,包括Photoshop,Illustrator,Premiere Pro,InDesign,Lightroom等,这些软件可在台式机和移动设备使用。

受到此次漏洞特别影响的是Creative Cloud桌面应用程序版本5.0及更早版本。Adobe已在应用程序的5.1版中进行了必要的修复。

该漏洞(CVE-2020-3808)是因为检查时间到使用时间(TOCTOU)的竞争状况(race condition)出现问题。当两个或多个系统操作可以访问共享数据,并且它们试图同时更改它们时,就会发生争用情况。这种特殊的竞争条件类型涉及检查系统一部分的状态(例如安全凭证),并使用同时执行的检查结果。

如果被利用,该漏洞可能导致任意文件删除,从而允许攻击者删除某些关键文件。此外,Adobe并未提供有关攻击的更多详细信息,例如攻击者是否需要在本地还是远程,或者是否需要通过身份验证。

根据Adobe的说法,该漏洞的安全升级是“优先级2”的更新。这意味着它可以解决历史上风险较高的产品中的漏洞,但目前尚无已知漏洞。

“根据以往的经验,我们预计攻击不会立即出现。但是防患于未然,Adobe建议管理员(在30天内)尽快安装更新。”

这是三月份Adobe的第二次带外更新。上周,Adobe披露了一个更新程序,该更新程序解决了其Photoshop和Acrobat Reader产品中的关键漏洞,如果加以利用,则可以允许任意代码执行。总体而言,Adobe上周修补了其产品中与41个CVE相关漏洞,其中29个漏洞威胁程度达到“严重”。这些修补程序并不是在Adobe的定期计划更新日(3月初,因为Adobe没有补丁程序)发布的。

去年10月,Adobe Creative Cloud曾因为一个严重漏洞而致750万用户数据泄露,泄露的数据库缓存大小接近86GB,公开的信息包括用户的电子邮件、账号创建日期、订阅状态、支付状态等。

*参考来源:Threatpost,Sandra1432编译,转载请注明来自FreeBuf.COM

# adobe # windows # Creative Cloud
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者