发布日期:2016 年 4 月 12 日

漏洞标识符:APSB16-11

优先级:2

CVE 编号:CVE-2016-1034

平台:Windows 和 Macintosh

摘要

Adobe 发布了可用于 Windows 和 Macintosh 的 Creative Cloud 桌面应用程序的安全更新。此更新解决了 Creative Cloud Libraries 同步过程中一个重要的漏洞,攻击者可能会滥用该漏洞以远程读取和写入客户端文件系统中的文件。

受影响的版本

产品 受影响的版本 平台
Creative Cloud 桌面应用程序 Creative Cloud 3.5.1.209 或更早版本 Windows 和 Macintosh

解决方案

Adobe 按照以下优先级将此更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新后的版本 平台 优先级
Creative Cloud 桌面应用程序 Creative Cloud 3.6.0.244 Windows 和 Macintosh 2

Creative Cloud 用户可通过该应用程序的更新机制来应用更新。更多详细信息,请访问 https://www.adobe.com/creativecloud/desktop-app.html

对于托管环境,IT 管理员可以按照此处介绍的工作流程,使用 Creative Cloud Packager 创建部署包。

有关 Creative Cloud Packager 的更多信息,请参阅此帮助页面

漏洞详情

此更新解决了 Creative Cloud Libraries 的 JavaScript API 中的一个漏洞,攻击者可能会滥用该漏洞以远程读取和写入客户端文件系统中的文件 (CVE-2016-1034)。

鸣谢

Adobe 感谢以下人员和组织报告此问题并与 Adobe 共同保护客户的安全:

  • 来自加州大学伯克利分校的 Roger Chen 以及从事 Trend Micro(趋势科技)ZDI 工作的 Lokihardt 各自独立披露了该漏洞 (CVE-2016-1034)。