Adobe Creative Cloud Windows桌面程式爆重大漏洞，可造成檔案被刪除

Adobe周四警告雲端套裝服務Creative Cloud Windows桌面程式有重大漏洞，可能導致用戶檔案被刪除。Adobe已釋出更新版本。

這項編號CVE-2020-3808是由華南理工大學Jiadong Lu，及奇虎360核心安全實驗室研究人員Zhiniang Peng發現並通報Adobe。它屬於一種Time-of-check to time-of-use（TOCTOU）競爭條件漏洞。這類漏洞通常出現在兩個程序共享同一資源發生競爭時，具有權限的程序優先使用檔案，使攻擊者趁其他指令影響該程序。Adobe並未說明細節，僅指出成功開採漏洞的攻擊者，將任意刪除現有帳號用戶的檔案。該漏洞被列為重大風險。

受影響的產品為Creative Cloud Windows版應用程式5.0及之前版本。Adobe已釋出5.1版本，呼籲用戶安裝，不過優先等級僅列為2。根據Adobe的定義，此一等級顯示漏洞尚未有被開採的跡象。

Adobe Creative Cloud 提供該公司主要視覺設計軟體包括Adobe XD、Photoshop、InDesign及Illustrator等，一般估計用戶達1,500萬。

去年11月Adobe也發生因為ElasticSearch資料庫組態錯誤，致使750萬Creative Cloud用戶電子郵件及帳號個資曝光。