À peine une semaine après l’effervescence suscitée par la mise en place des correctifs mensuels planifiés d’Adobe, l’entreprise est de retour avec un correctif urgent pour deux vulnérabilités critiques affectant Photoshop Creative Cloud (CC) pour Windows et macOS.
Le patch pour ces vulnérabilités semble être plus non planifié (c’est-à-dire inattendu) que de type out-of-band (généralement réservé aux vulnérabilités activement exploitées), mais les utilisateurs de Photoshop CC devraient tout de même l’installer le plus tôt possible.
Les versions vulnérables sont Photoshop CC 2018 v19.1.5 et antérieures et Photoshop CC 2017 v18.1.5 et antérieures, à la fois sous Windows et macOS.
Les versions mises à jour sont Photoshop CC 2018 v19.1.6 et Photoshop CC 2017 v18.1.6. Les vulnérabilités sont référencées sous les noms CVE-2018-12810 et CVE-2018-12811 associées à l’identifiant Adobe APSB18-28. Les mises à jour sont appliquées via Aide> Mises à jour.
Signalé à Adobe par Kushal Arvind Shah de Fortinet, les failles n’ont pas encore été détaillées au-delà du fait qu’elles impliquent une corruption de mémoire au niveau d’une exécution de code à distance (RCE), déclenchée par un fichier malveillant.
Voici l’explication donnée dans le bulletin de sécurité d’Adobe :
Une exploitation réussie pourrait conduire à l’exécution de code arbitraire dans le contexte de l’utilisateur actuel.
Pour cette raison, les correctifs sont considérés comme “critiques”, bien qu’ils aient seulement une priorité de niveau 3, signifiant pour Adobe que :
Cette mise à jour corrige des vulnérabilités dans un produit qui n’a toujours pas été pris pour cible par des cybercriminels. Adobe recommande aux administrateurs d’installer cette mise à jour à leur discrétion.
Le dernier correctif significatif de Photoshop CC a été publié en mai dernier pour traiter CVE-2018-4946, bien que la série de correctifs de la semaine dernière en contienne une dénommée CVE-2018-5003, corrigeant ainsi une faille dans le programme d’installation de Creative Cloud Desktop pour Windows (v4.5.0.324 et antérieures).
Si la correction de Photoshop CC vous semble fastidieuse, essayez Flash Player pour voir ! Pour toute personne suffisamment masochiste pour continuer à l’utiliser, en 2018, 19 CVE ont été traitées (dont une corrigée le mois dernier), et ce n’est que pour le mois d’août !
Billet inspiré de Patch time! Adobe issues unexpected ‘critical’ fix for Photoshop CC, sur Sophos nakedsecurity.