『黑客与极客』Adobe修复了Creative Cloud中可致任意文件删除的严重漏洞

近日， Adobe修复了windows版Creative Cloud桌面应用程序的一个严重漏洞，发布了带外安全更新，对漏洞进行修复。该漏洞编号为CVE-2020-3808 ，攻击者可以利用该漏洞从运行的Creative Cloud客户端进入Windows计算机系统，删除特定任意文件。

本文插图
【『黑客与极客』Adobe修复了Creative Cloud中可致任意文件删除的严重漏洞】
Adobe在周二发布的帖子中说：“成功利用漏洞可能导致当前用户上下文中的任意文件删除。Adobe建议用户按照安全公告中引用的说明将其产品安装更新到最新版本。 ”
Adobe Creative Cloud或Adobe CC是一项订阅服务，大约有1500万的订阅户，主要提供的服务是可以快速启动、管理和更新公司开发的全套流行创意软件，包括Photoshop ， Illustrator ， Premiere Pro ， InDesign ， Lightroom等，这些软件可在台式机和移动设备使用。
受到此次漏洞特别影响的是Creative Cloud桌面应用程序版本5.0及更早版本。 Adobe已在应用程序的5.1版中进行了必要的修复。
该漏洞（CVE-2020-3808）是因为检查时间到使用时间（TOCTOU）的竞争状况出现问题。当两个或多个系统操作可以访问共享数据，并且它们试图同时更改它们时，就会发生争用情况。这种特殊的竞争条件类型涉及检查系统一部分的状态（例如安全凭证），并使用同时执行的检查结果。
如果被利用，该漏洞可能导致任意文件删除，从而允许攻击者删除某些关键文件。此外， Adobe并未提供有关攻击的更多详细信息，例如攻击者是否需要在本地还是远程，或者是否需要通过身份验证。
根据Adobe的说法，该漏洞的安全升级是“优先级2”的更新。这意味着它可以解决历史上风险较高的产品中的漏洞，但目前尚无已知漏洞。
“根据以往的经验，我们预计攻击不会立即出现。但是防患于未然， Adobe建议管理员（在30天内）尽快安装更新。 ”
这是三月份Adobe的第二次带外更新。上周， Adobe披露了一个更新程序，该更新程序解决了其Photoshop和Acrobat Reader产品中的关键漏洞，如果加以利用，则可以允许任意代码执行。总体而言， Adobe上周修补了其产品中与41个CVE相关漏洞，其中29个漏洞威胁程度达到“严重” 。这些修补程序并不是在Adobe的定期计划更新日（3月初，因为Adobe没有补丁程序）发布的。
去年10月， Adobe Creative Cloud曾因为一个严重漏洞而致，泄露的数据库缓存大小接近86GB ，公开的信息包括用户的电子邮件、账号创建日期、订阅状态、支付状态等。