Atualização de segurança disponível para o aplicativo de desktop da Creative Cloud

Data de lançamento: 14 de junho de 2016

Identificador de vulnerabilidade: APSB16-21

Prioridade: 3

Número CVE: CVE-2016-4157, CVE-2016-4158

Plataforma: Windows

Resumo

A Adobe lançou uma atualização de segurança para o aplicativo de desktop da Creative Cloud para Windows. Essa atualização resolve uma vulnerabilidade não confiável do caminho de pesquisa no instalador do aplicativo de desktop da Creative Cloud e uma vulnerabilidade de enumeração do caminho de serviço não cotada no aplicativo de desktop da Creative Cloud.

Versões afetadas

Produto Versão afetada Plataforma
Aplicativo de desktop da Creative Cloud Creative Cloud 3.6.0.248 e versões anteriores Windows

Solução

A Adobe classifica essa atualização com a seguinte prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente:

Produto Versão atualizada Plataforma Classificação de prioridade
Aplicativo de desktop da Creative Cloud Creative Cloud 3.7.0.272 Windows  3

O instalador da Creative Cloud 3.7.0.272 estará disponível a partir de 13 de junho de 2016. Para obter mais detalhes, acesse https://www.adobe.com/br/creativecloud/desktop-app.html.

Para ambientes gerenciados, os administradores de TI podem usar o Creative Cloud Packager para criar pacotes de implantação conforme descrito no fluxo de trabalho documentado aqui.

Consulte esta página de ajuda para obter mais informações sobre o Creative Cloud Packager.

Detalhes da vulnerabilidade

  • Essa atualização resolve uma vulnerabilidade no caminho de pesquisa de diretório usado para localizar os recursos que podem levar à execução do código (CVE-2016-4157). 
  • Essa atualização resolve uma vulnerabilidade de enumeração do caminho de serviço não cotada no aplicativo de desktop da Creative Cloud (CVE-2016-4158).

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e empresas por relatar problemas relevantes e por trabalhar com a Adobe para ajudar a proteger nossos clientes:

  • YoKo Kho e Dicky (@dickysOfficial) da MII - CAS Dept (CVE-2016-4157).
  • Cyril Vallicari / Ug_0 Segurança e equipe de segurança da Netservice de Toekomst (CVE-2016-4158).