Tietoturvapäivitys Creative Cloud -työpöytäsovellukseen

Julkaisupäivä: 11. huhtikuuta 2017

Haavoittuvuuden tunniste: APSB17-13

Prioriteetti 3

CVE-numero: CVE-2017-3006, CVE-2017-3007

Ympäristö: Windows

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Creative Cloud -työpöytäsovellukselle Windowsia varten. Tämä päivitys korjaa tärkeän haavoittuvuuden, joka liittyy sopimattoman resurssioikeuksien käyttöön Creative Cloud -tietokonesovellusten asennuksen aikana (CVE-2017-3006). Tämä päivitys korjaa myös haavoittuvuuden, joka liittyy resurssien hakemisessa käytettyyn hakemistohakupolkuun (CVE-2017-3007).

Versiot

Tuote Versio, jota haavoittuvuus koskee Ympäristö
Creative Cloud -työpöytäsovellus Creative Cloud 3.9.5.353 ja aiemmat versiot Windows

Ratkaisu

Adobe luokittelee tämän päivityksen seuraavalla prioriteettiluokituksella ja suosittelee käyttäjiä päivittämään asennetun ohjelmistonsa uusimpaan versioon:

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus
Creative Cloud -työpöytäsovellus Creative Cloud 4.0.0.185 ja uudemmat versiot Windows  3

CVE-2017-3006-haavoittuvuuden ratkaisemiseksi asiakkaiden pitää päivittää (tai asentaa uudelleen) kaikki asennetut Creative Cloud -sovellukset käyttämällä Creative Cloud -työpöytäsovelluksen versiota 4.0.0.185 (tai uudempaa).

Asiakkaat voivat päivittää Creative Cloud -tietokonesovelluksen uusimpaan versioon kirjautumalla ulos ja sitten takaisin sisään Creative Cloud -tietokonesovelluksen kautta.  Katso tältä ohjesivulta lisätietoja ulos ja sisään kirjautumisesta Creative Cloud -tietokonesovelluksella.  

Hallittujen ympäristöjen IT-järjestelmänvalvojat voivat luoda käyttöönottopaketit Creative Cloud Packagerin avulla näissä ohjeissa kuvatulla tavalla.  Tällä ohjesivulla on lisätietoja Creative Cloud Packagerista.

Lisätietoja haavoittuvuuksista

  • Tämä päivitys korjaa haavoittuvuuden, joka liittyy sopimattoman resurssioikeuksien käyttöön Creative Cloud -tietokonesovellusten asennuksen aikana (CVE-2017-3006).
  • Tämä päivitys ratkaisee resurssien löytämiseen käytetyn hakemiston hakupolun haavoittuvuuden, jota voitaisiin käyttää koodin suorittamiseen (CVE-2017-3007).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa: 

  • John Page, alias hyp3rlinx (CVE-2017-3006) 
  • John Carroll (CVE-2017-3007)