Adobe致Windows 10用户使用此修复创造性云应用程序中的重要文件删除错误
Adobe (Adobe . o:行情)警告用户,其针对Windows个人电脑的创意云桌面应用程序存在一个漏洞,攻击者可能会从他们的电脑中删除文件。
第三方研究人员发现,Adobe针对Windows的设计应用程序套件容易受到从检查到使用时间(TOCTTOU)竞争条件的影响,这种情况会影响程序在使用文件、内存和进程等资源时执行的安全检查。
如果资源的状态在check和use之间发生变化,那么攻击者也可以对其进行更改,在这种情况下,可以删除Windows PC上用户的项目文件。
据Adobe称,CVE-2020-3808漏洞是影响Adobe Creative Cloud桌面应用程序(适用于Windows 5.0及以上版本)的一个重要缺陷。
参见:网络安全新专家的10条建议(免费PDF)
Adobe周二在一份安全公告中表示:“成功的利用可能导致当前用户环境中的任意文件删除。”
Adobe正敦促其创意云用户升级到适用于Windows的5.1版本。
Adobe似乎认为这个漏洞很严重,因为它选择在通常的时间表之外发布一个安全补丁,与微软周二发布的补丁一致。
Adobe表示,目前还没有发现CVE-2020-3808的任何漏洞,这或许可以解释为什么在安装更新版本时,它只给了"2"的优先级。
这个级别是针对那些目前还没有已知漏洞的bug,而且它也不希望马上出现漏洞。该评级建议用户应该“尽快”安装更新,比如在30天内。如果它被评为“1”,它建议在72小时内安装更新,因为在野外被利用的风险更高。
但它认为这个漏洞很重要,因为如果它被利用,“可能会让恶意的本地代码在用户不知情的情况下执行”。
看:的机会:开发者,呆在家里,清理你的代码
Adobe公司称,这一问题是由华南理工大学的陆家栋和奇虎360核心安全的彭志良报告的。
Creative Cloud的紧急补丁是在Adobe去年的一个安全漏洞之后发布的,该漏洞在一个没有密码保护的Elasticsearch数据库中暴露了750万Adobe Creative Cloud用户在互联网上的客户账户。