Adobe aux utilisateurs de Windows 10 : patchez ce bug de suppression de fichiers dans l’application Creative Cloud

Adobe aux utilisateurs de Windows 10 : patchez ce bug de suppression de fichiers dans l'application Creative Cloud Adobe met en garde a mis en garde les utilisateurs de son application Creative Cloud Desktop pour PC Windows contre un bug qui pourrait permettre à un attaquant de supprimer des fichiers de leur ordinateur. Des chercheurs ont découvert que la suite d’applications d’Adobe pour Windows est vulnérable à une faille de type Time Of Check To Time Of Use (TOCTTOU) , qui a un impact sur les contrôles de sécurité qu’un programme effectue lors de l’utilisation de ressources comme les fichiers, la mémoire et les processus.
Si l’état d’une ressource change entre le contrôle et l’utilisation, il peut permettre à une attaque de le changer aussi, dans ce cas en supprimant les fichiers de projet d’un utilisateur sur un PC Windows. Selon Adobe, le bogue CVE-2020-3808, est une faille critique affectant l’application Adobe Creative Cloud Desktop pour Windows versions 5.0 et antérieures. “Une exploitation réussie pourrait conduire à la suppression arbitraire de fichiers dans le contexte de l’utilisateur actuel”, a déclaré Adobe dans un bulletin de sécurité mardi.

Adobe est en train de pousser ses utilisateurs de Creative Cloud à passer à la version 5.1 pour Windows. Adobe semble considérer ce bug comme sérieux, étant donné qu’il a choisi de publier un correctif de sécurité en dehors de son calendrier habituel qui s’inscrit dans le cadre du Patch Tuesday de Microsoft.

publicité

Pas d’exploits en cours

Adobe a déclaré qu’il n’avait pas connaissance d’exploits en cours pour CVE-2020-3808, ce qui pourrait expliquer pourquoi il ne lui a donné qu’une note prioritaire de “2” pour l’installation de la version mise à jour. Ce rating concerne les bugs pour lesquels il n’existe actuellement aucun exploit connu et pour lesquels l’éditeur ne s’attend pas à ce qu’un exploit apparaisse de manière imminente. La notation suggère aux utilisateurs d’installer la mise à jour “bientôt”, par exemple dans les 30 jours. Si la note est de “1”, il est recommandé d’installer les mises à jour dans les 72 heures en raison du risque plus élevé d’exploits

Mais Adobe a qualifié le bug de critique car s’il était exploité, il “permettrait à du code natif malveillant de s’exécuter, potentiellement sans qu’un utilisateur en soit conscient”. Adobe a crédité Jiadong Lu de l’Université de technologie de Chine du Sud et Zhiniang Peng de Qihoo 360 Core Security pour avoir signalé ce problème.

Le correctif d’urgence pour Creative Cloud fait suite à une bévue de sécurité commise par Adobe l’année dernière qui a exposé 7,5 millions de comptes clients d’utilisateurs d’Adobe Creative Cloud sur Internet à l’intérieur d’une base de données Elasticsearch qui n’était pas protégée par un mot de passe.
Source : “ZDNet.com”

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading