Adoben tietoturvatiedote

Julkaisupäivä: 11. huhtikuuta 2017

Haavoittuvuuden tunniste: APSB17-13

Prioriteetti 3

CVE-numero: CVE-2017-3006, CVE-2017-3007

Ympäristö: Windows

Adobe on julkaissut tietoturvapäivityksen Creative Cloud -työpöytäsovellukselle Windowsia varten. Tämä päivitys korjaa tärkeän haavoittuvuuden, joka liittyy sopimattoman resurssioikeuksien käyttöön Creative Cloud -tietokonesovellusten asennuksen aikana (CVE-2017-3006). Tämä päivitys korjaa myös haavoittuvuuden, joka liittyy resurssien hakemisessa käytettyyn hakemistohakupolkuun (CVE-2017-3007).

Adobe luokittelee tämän päivityksen seuraavalla prioriteettiluokituksella ja suosittelee käyttäjiä päivittämään asennetun ohjelmistonsa uusimpaan versioon:

CVE-2017-3006-haavoittuvuuden ratkaisemiseksi asiakkaiden pitää päivittää (tai asentaa uudelleen) kaikki asennetut Creative Cloud -sovellukset käyttämällä Creative Cloud -työpöytäsovelluksen versiota 4.0.0.185 (tai uudempaa).

Asiakkaat voivat päivittää Creative Cloud -tietokonesovelluksen uusimpaan versioon kirjautumalla ulos ja sitten takaisin sisään Creative Cloud -tietokonesovelluksen kautta.  Katso tältä ohjesivulta lisätietoja ulos ja sisään kirjautumisesta Creative Cloud -tietokonesovelluksella.  

Hallittujen ympäristöjen IT-järjestelmänvalvojat voivat luoda käyttöönottopaketit Creative Cloud Packagerin avulla näissä ohjeissa kuvatulla tavalla.  Tällä ohjesivulla on lisätietoja Creative Cloud Packagerista.

• Tämä päivitys korjaa haavoittuvuuden, joka liittyy sopimattoman resurssioikeuksien käyttöön Creative Cloud -tietokonesovellusten asennuksen aikana (CVE-2017-3006).
• Tämä päivitys ratkaisee resurssien löytämiseen käytetyn hakemiston hakupolun haavoittuvuuden, jota voitaisiin käyttää koodin suorittamiseen (CVE-2017-3007).

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa: 

• John Page, alias hyp3rlinx (CVE-2017-3006) 
• John Carroll (CVE-2017-3007)