Пара критических багов стала поводом для внепланового обновления графического редактора Photoshop CC. Разработчикам пришлось срочно латать бреши, допускающие сбой в работе памяти и, как следствие, удаленное выполнение кода. Уязвимости обнаружены в двух актуальных версиях программы для операционных систем Windows и macOS.

Проблему выявили исследователи из компании Fortinet. Они выяснили, что для взлома системы злоумышленнику достаточно убедить пользователя открыть файл с внедренным вредоносным кодом. Photoshop выполнит скрипт в контексте прав, которые имеет жертва на скомпрометированном устройстве.

Исследователи сообщили в Adobe о своей находке 25 июня. Тогда же аналитики зарезервировали для брешей номера CVE-2018-12810 и CVE-2018-12811. Технические подробности эксплойтов обнародуют позже, когда большая часть пользователей получит критически важные апдейты.

Под ударом оказались версии Photoshop CC до 18.1.5 и Photoshop CC 19.1.5. Разработчик рекомендует как можно скорее обновить программы до релизов 18.1.6 и 19.1.6 соответственно.

Несмотря на критический статус, Adobe установила для новых багов обычный приоритет и залатала их с выпуском очередного комплекта патчей. Свое решение разработчик мотивировал тем, что уязвимые продукты редко становятся целью злоумышленников.

Действительно, киберпреступники чаще атакуют другие разработки Adobe — в июне вендору пришлось срочно патчить Flash Player, в котором нашли уязвимость нулевого дня. Вредоносный .swf-файл вызывал переполнение буфера в стеке, что влекло за собой удаленное выполнение кода. Мошенники использовали баг в атаках на ближневосточные компании, загружая полезную нагрузку в скрипт, внедренный в документ Excel.

Июльский комплект обновлений Adobe содержал более сотни заплаток для продуктов линейки Acrobat. Наиболее серьезные баги допускали эскалацию привилегий и выполнение на устройстве внедренных в документы скриптов. Совместная эксплуатация этих уязвимостей позволяла злоумышленнику запускать программы от имени администратора и полностью скомпрометировать компьютер жертвы.

Категории: Кибероборона, Уязвимости