Adobe aux utilisateurs de Windows 10 : patchez ce bug de suppression de fichiers dans l’application Creative Cloud
Si l’état d’une ressource change entre le contrôle et l’utilisation, il peut permettre à une attaque de le changer aussi, dans ce cas en supprimant les fichiers de projet d’un utilisateur sur un PC Windows. Selon Adobe, le bogue CVE-2020-3808, est une faille critique affectant l’application Adobe Creative Cloud Desktop pour Windows versions 5.0 et antérieures. “Une exploitation réussie pourrait conduire à la suppression arbitraire de fichiers dans le contexte de l’utilisateur actuel”, a déclaré Adobe dans un bulletin de sécurité mardi.
Adobe est en train de pousser ses utilisateurs de Creative Cloud à passer à la version 5.1 pour Windows. Adobe semble considérer ce bug comme sérieux, étant donné qu’il a choisi de publier un correctif de sécurité en dehors de son calendrier habituel qui s’inscrit dans le cadre du Patch Tuesday de Microsoft.
Pas d’exploits en cours
Adobe a déclaré qu’il n’avait pas connaissance d’exploits en cours pour CVE-2020-3808, ce qui pourrait expliquer pourquoi il ne lui a donné qu’une note prioritaire de “2” pour l’installation de la version mise à jour. Ce rating concerne les bugs pour lesquels il n’existe actuellement aucun exploit connu et pour lesquels l’éditeur ne s’attend pas à ce qu’un exploit apparaisse de manière imminente. La notation suggère aux utilisateurs d’installer la mise à jour “bientôt”, par exemple dans les 30 jours. Si la note est de “1”, il est recommandé d’installer les mises à jour dans les 72 heures en raison du risque plus élevé d’exploits
Mais Adobe a qualifié le bug de critique car s’il était exploité, il “permettrait à du code natif malveillant de s’exécuter, potentiellement sans qu’un utilisateur en soit conscient”. Adobe a crédité Jiadong Lu de l’Université de technologie de Chine du Sud et Zhiniang Peng de Qihoo 360 Core Security pour avoir signalé ce problème.
Le correctif d’urgence pour Creative Cloud fait suite à une bévue de sécurité commise par Adobe l’année dernière qui a exposé 7,5 millions de comptes clients d’utilisateurs d’Adobe Creative Cloud sur Internet à l’intérieur d’une base de données Elasticsearch qui n’était pas protégée par un mot de passe.
Source : “ZDNet.com”