Adobe周四警告云计算套装服务Creative Cloud Windows桌面程序有重大漏洞,可能导致用户文件被删除。Adobe已发布更新版本。
这项编号CVE-2020-3808是由华南理工大学Jiadong Lu,及奇虎360核心安全实验室研究人员Zhiniang Peng发现并通报Adobe。它属于一种Time-of-check to time-of-use(TOCTOU)竞争条件漏洞。这类漏洞通常出现在两个程序共享同一资源发生竞争时,具有权限的程序优先使用文件,使攻击者趁其他指令影响该程序。Adobe并未说明细节,仅指出成功开采漏洞的攻击者,将任意删除现有账号用户的文件。该漏洞被列为重大风险。
受影响的产品为Creative Cloud Windows版应用程序5.0及之前版本。Adobe已发布5.1版本,呼吁用户安装,不过优先等级仅列为2。根据Adobe的定义,该等级显示漏洞尚未有被开采的迹象。
Adobe Creative Cloud提供该公司主要视觉设计软件包括Adobe XD、Photoshop、InDesign及Illustrator等,一般估计用户达1,500万。
去年11月Adobe也发生因为ElasticSearch数据库组态错误,致使750万Creative Cloud用户电子邮件及账号个人信息曝光。