圖片來源: 

Adobe

Adobe周四警告雲端套裝服務Creative Cloud Windows桌面程式有重大漏洞,可能導致用戶檔案被刪除。Adobe已釋出更新版本。

這項編號CVE-2020-3808是由華南理工大學Jiadong Lu,及奇虎360核心安全實驗室研究人員Zhiniang Peng發現並通報Adobe。它屬於一種Time-of-check to time-of-use(TOCTOU)競爭條件漏洞。這類漏洞通常出現在兩個程序共享同一資源發生競爭時,具有權限的程序優先使用檔案,使攻擊者趁其他指令影響該程序。Adobe並未說明細節,僅指出成功開採漏洞的攻擊者,將任意刪除現有帳號用戶的檔案。該漏洞被列為重大風險。

受影響的產品為Creative Cloud Windows版應用程式5.0及之前版本。Adobe已釋出5.1版本,呼籲用戶安裝,不過優先等級僅列為2。根據Adobe的定義,此一等級顯示漏洞尚未有被開採的跡象。

Adobe Creative Cloud 提供該公司主要視覺設計軟體包括Adobe XD、Photoshop、InDesign及Illustrator等,一般估計用戶達1,500萬。

去年11月Adobe也發生因為ElasticSearch資料庫組態錯誤,致使750萬Creative Cloud用戶電子郵件及帳號個資曝光。


Advertisement

更多 iThome相關內容