Aggiornamento di sicurezza disponibile per l'applicazione desktop Creative Cloud

Data di pubblicazione: 12 aprile 2016

Identificatore di vulnerabilità: APSB16-11

Priorità: 2

Codice CVE: CVE-2016-1034

Piattaforme: Windows e Macintosh

Adobe ha rilasciato un aggiornamento di sicurezza per l'applicazione desktop Creative Cloud per Windows e Macintosh.  Questo aggiornamento risolve una vulnerabilità importante nel processo di sincronizzazione per le librerie di Creative Cloud che potrebbe essere sfruttata per la lettura e scrittura remota di file nel file system del client.  

Versioni interessate

Prodotto Versione interessata Piattaforma
Applicazione desktop Creative Cloud Creative Cloud 3.5.1.209 o versioni precedenti Windows e Macintosh

Soluzione

Adobe classifica questo aggiornamento in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:

Prodotto Versione aggiornata Piattaforma Livello di priorità
Applicazione desktop Creative Cloud Creative Cloud 3.6.0.244 Windows e Macintosh 2

Gli utenti Creative Cloud possono effettuare l'aggiornamento tramite il meccanismo di aggiornamento dell'applicazione. Per ulteriori informazioni, visitate il sito https://www.adobe.com/it/creativecloud/desktop-app.html.

Per gli ambienti gestiti, gli amministratori IT possono utilizzare Creative Cloud Packager per creare pacchetti di distribuzione come descritto nel flusso di lavoro illustrato qui.

Per ulteriori informazioni su Creative Cloud Packager, fate riferimento a questa pagina di aiuto.

Dettagli della vulnerabilità

Questo aggiornamento risolve una vulnerabilità nell'API Javascript per le librerie di Creative Cloud che potrebbe essere sfruttata per la lettura e scrittura remota di file nel file system del client (CVE-2016-1034).

Ringraziamenti

Adobe desidera ringraziare i singoli e le organizzazioni seguenti per la collaborazione e per aver segnalato il problema, contribuendo così a proteggere la sicurezza dei nostri clienti:

  • Rivelato indipendentemente da Roger Chen dell'Università della California, Berkeley, e Lokihardt in collaborazione con ZDI di Trend Micro (CVE-2016-1034).