Adobe a patché une faille dans l’application Creative Cloud

Adobe a distribué un patch pour une faille de sécurité critique dans son application Creative Cloud sur Windows. La faille de sécurité peut être exploitée par un pirate informatique pour supprimer arbitrairement des fichiers sensibles et spécifiques sur le système de la victime.

Creative Cloud agit comme une console centrale pour les utilisateurs d’ordinateurs de bureau et aide à lancer, gérer et mettre à jour rapidement leurs applications Adobe, telles que Photoshop, Acrobat, Illustrator et plus encore. Les version 5.0 et antérieures de l’application Creative Cloud sont concernées par cette failles de sécurité. Adobe a apporté les correctifs nécessaires dans la version 5.1 de l’application.

«Une exploitation réussie pourrait entraîner la suppression arbitraire de fichiers dans le contexte de l’utilisateur actuel», a déclaré Adobe dans un article publié la semaine dernière. «Adobe recommande aux utilisateurs de mettre à jour les installations de leurs produits vers les dernières versions en utilisant les instructions référencées dans le bulletin de sécurité.»

adobe

La faille de sécurité (CVE-2020-3808) provient d’une situation de concurrence entre l’heure de vérification (time-of-check) et l’heure d’utilisation (time-of-use) (TOCTOU). Une “situation de concurrence” critique se produit lorsque deux opérations système ou plus peuvent accéder aux données partagées et essaient de les modifier en même temps. Ce type spécifique de “situation de concurrence” implique la vérification de l’état d’une partie d’un système et l’utilisation des résultats de cette vérification en même temps.

Si elle est exploitée, la faille de sécurité pourrait permettre la suppression arbitraire de fichiers, permettant à un pirate informatique de supprimer certains fichiers sensibles. Cependant, Adobe n’a pas fourni de détails supplémentaires sur l’attaque. On ne sait pas vraiment si un attaquant doit être local ou distant, ou s’il doit être authentifié sur le système.

adobe

Cette mise à niveau de sécurité est une mise à jour de «priorité 2». Selon Adobe, cela signifie que cette mise à jour résout les vulnérabilités d’un produit qui a toujours été exposé à un risque élevé, mais qu’il n’y a actuellement aucun exploit connu.

«En se basant sur l’expérience précédente, nous ne prévoyons pas que les exploits soient imminents. Pour adopter les meilleures pratiques, Adobe recommande aux administrateurs d’installer la mise à jour prochainement (par exemple, dans les 30 jours) », a déclaré Adobe.

Pas la première mise à jour hors bande d’Adobe ce mois-ci

Il s’agit de la deuxième mise à jour hors bande d’Adobe au mois de Mars 2020. La semaine dernière, le géant américain a dévoilé une mise à jour corrigeant 35 failles de sécurité critiques de ses produits Photoshop et Acrobat Reader, qui, si elles étaient exploitées, pourraient permettre l’exécution de code arbitraire. Dans l’ensemble, la société américaine a corrigé la semaine dernière des failles liées à 41 CVE dans ses produits, dont 29 étaient d’une gravité critique. Les correctifs ont été publiés en dehors des mises à jour régulières d’Adobe (Patch Tuesday). La dernière mise à jour régulière a été faite au mois de Février 2020, il n’y en a pas eu au mois de Mars 2020.

Vu le nombre de failles de sécurité patchées par la société américaine ce mois-ci on se dit qu’il y’avait vraiment de quoi faire une mise à jour régulière pour le mois de Mars 2020.

Adobe a crédité Jiadong Lu de l’Université de technologie du Sud de la Chine et Zhiniang Peng de Qihoo 360 Core Security (@edwardzpeng) pour avoir découvert cette faille de sécurité.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x