Adobe Creative Cloud Windows桌面程序爆漏洞

Adobe周四警告雲計算套裝服務Creative Cloud Windows桌面程序有重大漏洞，可能導致用戶文件被刪除。Adobe已發布更新版本。

這項編號CVE-2020-3808是由華南理工大學Jiadong Lu，及奇虎360核心安全實驗室研究人員Zhiniang Peng發現並通報Adobe。它屬於一種Time-of-check to time-of-use（TOCTOU）競爭條件漏洞。這類漏洞通常出現在兩個程序共享同一資源發生競爭時，具有許可權的程序優先使用文件，使攻擊者趁其他指令影響該程序。Adobe並未說明細節，僅指出成功開採漏洞的攻擊者，將任意刪除現有賬號用戶的文件。該漏洞被列為重大風險。

受影響的產品為Creative Cloud Windows版應用程序5.0及之前版本。Adobe已發布5.1版本，呼籲用戶安裝，不過優先等級僅列為2。根據Adobe的定義，該等級顯示漏洞尚未有被開採的跡象。

Adobe Creative Cloud提供該公司主要視覺設計軟體包括Adobe XD、Photoshop、InDesign及Illustrator等，一般估計用戶達1,500萬。

去年11月Adobe也發生因為ElasticSearch資料庫組態錯誤，致使750萬Creative Cloud用戶電子郵件及賬號個人信息曝光。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！