Investigadores de seguridad descubrieron una vulnerabilidad crítica en Adobe CC que de ser explotada podría permitir a un atacante borrar archivos del ordenador. El bug que afecta solo a los usuarios de Windows, fue parcheado por la empresa y es extremadamente importante actualizar de inmediato.
Adobe ha publicado un boletín de seguridad informando a los usuarios del lanzamiento de importantes actualizaciones de seguridad para la aplicación de escritorio de Creative Cloud. La recomendación es actualizar cuanto antes cualquier versión que sea la 5.0 o más antigua.
TOCTTOU
La vulnerabilidad es descrita como _Time-of-check Time-of-use (TOCTOU o TOCTTOU) Race Condition_, un bug que afecta las verificaciones de seguridad que un programa realiza cuando utiliza recursos del ordenador, como la memoria, los archivos y los procesos.
Es decir, Adobe CC antes de usar cualquier recurso del sistema, como cualquier otro programa, realiza una verificación del estado de esos recursos. Sin embargo, el estado del recurso puede cambiar entre la revisión y el uso de una forma que invalida los resultados de dicha revisión.
Esto puede a su vez causar que el software realice acciones invalidas cuando los recursos se encuentran en un estado inesperado. Esta debilidad es relevante a nivel de seguridad porque un atacante puede influenciar el estado de un recurso en ese punto entre la revisión y el uso, y eso afecta a los archivos almacenados, la memoria, o incluso variables en en otros programas.
La recomendación es actualizar cuanto antes a Creative Cloud Desktop 5.1 para Windows. De momento Adobe no ha encontrado evidencia de que le vulnerabilidad haya sido explotada, pero lo ideal es actualizar en las primeras 72 horas porque se multiplica el riesgo de que comience a ser abusada.
Vía | ZDNet
Ver 2 comentarios